Vulnerabilità legata all'escalation dei privilegi di Dell Endpoint Security Suite Enterprise e Dell Threat Defense

Quando l'agente Advanced Threat Prevention stabilisce una connessione al servizio di aggiornamento, viene avviata una connessione https, che richiede all'agente ATP di convalidare che il certificato in uso provenga da un'origine attendibile. L'agente deve inoltre verificare che il certificato sia firmato da una CA radice attendibile valida. Prima della v1481 per Dell Endpoint Security Suite Enterprise e della v1482 per Dell Threat Defense, l'agent non convalidava correttamente la CA radice. Questo potrebbe essere usato per un attacco Man in the Middle per inviare un file all'agente. Tuttavia, come precauzione secondaria, l'agent accetta solo pacchetti di aggiornamento con un hash identico a quello previsto.

L'impatto sui clienti è minimo, in quanto sono in atto controlli secondari per garantire che non sia possibile aggiungere pacchetti fraudolenti all'agent Advanced Threat Prevention. Qualsiasi aggiornamento che non dispone dell'hash previsto viene rifiutato prima di essere aperto.

L'Agent v1481.90 per Dell Endpoint Security Suite Enterprise e v1482.90 per Dell Threat Defense ha modificato l'impostazione per richiedere la convalida dell'intera catena di certificati. Dell Technologies consiglia di aggiornare tutti gli agent alla versione più recente per garantire la protezione e la prevenzione più recenti disponibili.

I clienti che utilizzano Dell Endpoint Security Suite Enterprise possono abilitare l'aggiornamento automatico utilizzando l'interfaccia utente web di Dell Security Management Server per ricevere l'aggiornamento e applicarlo a tutti gli endpoint. Per istruzioni, consultare la Guida all'installazione avanzata v1.8 di Endpoint Security Suite Enterprise.

I clienti di Dell Threat Defense possono abilitare gli aggiornamenti per i propri dispositivi seguendo gli elementi descritti in >Impostazioni Configurazione aggiornamenti in questo articolo della Knowledge Base qui:

Come gestire Dell Threat Defense

È stato identificato un attacco di escalation verticale dei privilegi all'interno di Dell Endpoint Security Suite Enterprise e Dell Threat Defense. Viene adottato un approccio iterativo per risolvere questa vulnerabilità. Dell sta collaborando con i suoi partner per garantire che sia disponibile una versione corretta il più rapidamente possibile.

Un attacco di escalation dei privilegi può consentire a una parte malevola di accedere alle risorse protette se ottiene l'accesso al computer. Questo tipo di attacco richiede che un utente malintenzionato abbia accesso al dispositivo.

I clienti che utilizzano Dell Endpoint Security Suite Enterprise possono abilitare l'aggiornamento automatico utilizzando l'interfaccia utente web di Dell Security Management Server per ricevere questo aggiornamento e applicarlo a tutti gli endpoint. Per istruzioni, fare riferimento alla Guida all'installazione avanzata v1.8 di Dell Endpoint Security Suite Enterprise.

I clienti di Dell Threat Defense possono abilitare gli aggiornamenti per i propri dispositivi seguendo gli elementi descritti in >Impostazioni Configurazione aggiornamenti in questo articolo della Knowledge Base qui:

Come gestire Dell Threat Defense

Ulteriori informazioni sono disponibili qui:

https://www.atredis.com/blog/cylance-privilege-escalation-vulnerability