Faille de sécurité d’escalade des privilèges dans Dell Endpoint Security Suite Enterprise et Dell Threat Defense

Lorsque l’agent Advanced Threat Prevention établit une connexion au service de mise à jour, une connexion https est établie, ce qui invite l’agent ATP à valider que le certificat utilisé provient bien d’une source fiable. L’agent doit également s’assurer qu’une autorité de certification racine de confiance valide a signé le certificat. Avant la version 1481 pour Dell Endpoint Security Suite Enterprise et la version 1482 pour Dell Threat Defense, l’agent ne validait pas correctement l’autorité de certification racine. Cela peut être utilisé pour une attaque de type « Man in the Middle » visant à transmettre un fichier à l’agent. Toutefois, à titre de précaution secondaire, l’agent n’accepte que les packages de mise à jour avec un hachage identique à celui attendu.

L’impact sur les clients est minime, car des vérifications secondaires sont en place pour s’assurer qu’aucun package frauduleux ne peut être ajouté à l’agent Advanced Threat Prevention. Toute mise à jour n’ayant pas le hachage attendu est rejetée avant d’être ouverte.

L’agent v1481.90 pour Dell Endpoint Security Suite Enterprise et v1482.90 pour Dell Threat Defense a modifié le paramètre pour exiger la validation de l’ensemble de la chaîne de certificats. Dell Technologies recommande de mettre à jour tous les agents vers la dernière version afin de bénéficier de la protection et de la prévention les plus récentes disponibles.

Les clients qui utilisent Dell Endpoint Security Suite Enterprise peuvent activer la mise à jour automatique à l’aide de l’interface utilisateur Web de leur Dell Security Management Server pour recevoir cette mise à jour et l’appliquer à tous leurs points de terminaison. Consultez le Guide d’installation avancée v1.8 de Endpoint Security Suite Enterprise pour obtenir des instructions.

Les clients Dell Threat Defense peuvent activer les mises à jour pour leurs appareils en suivant les éléments décrits dans la section Paramètres >Configurer les mises à jour de cet article de la base de connaissances :

Gestion de Dell Threat Defense

Une attaque verticale par élévation de privilèges a été identifiée au sein de Dell Endpoint Security Suite Enterprise et de Dell Threat Defense. Une approche itérative est en cours pour résoudre cette vulnérabilité. Dell collabore avec ses partenaires pour assurer la disponibilité d’une version corrective aussi rapidement que possible.

Une attaque par élévation de privilèges peut permettre à une partie malveillante d’accéder à des ressources protégées si elle accède à l’ordinateur. Ce type d’attaque nécessite qu’un utilisateur malveillant ait accès à l’appareil.

Les clients qui utilisent Dell Endpoint Security Suite Enterprise peuvent activer la mise à jour automatique à l’aide de l’interface utilisateur Web de leur Dell Security Management Server pour recevoir cette mise à jour et l’appliquer à tous leurs points de terminaison. Consultez le Guide d’installation avancée v1.8 de Dell Endpoint Security Suite Enterprise pour obtenir des instructions.

Les clients Dell Threat Defense peuvent activer les mises à jour pour leurs appareils en suivant les éléments décrits dans la section Paramètres >Configurer les mises à jour de cet article de la base de connaissances :

Gestion de Dell Threat Defense

Vous trouverez plus d’informations ici :

https://www.atredis.com/blog/cylance-privilege-escalation-vulnerability