Vulnerabilidad de escalación de privilegios en Dell Endpoint Security Suite Enterprise y Dell Threat Defense

Cuando el agente de Advanced Threat Prevention establece una conexión con el servicio de actualización, se inicia una conexión https, que solicita al agente de ATP que valide que el certificado que se utiliza proviene de un origen de confianza. El agente también debe verificar para asegurarse de que una CA raíz de confianza válida firmó el certificado. Antes de v1481 para Dell Endpoint Security Suite Enterprise y v1482 para Dell Threat Defense, el agente no validaba correctamente la CA raíz. Esto podría usarse para un ataque de intermediario para enviar un archivo al agente. Sin embargo, como precaución secundaria, el agente solo acepta paquetes de actualización con un hash idéntico al esperado.

El impacto para los clientes es mínimo, ya que existen comprobaciones secundarias para garantizar que no se puedan agregar paquetes fraudulentos al agente de Advanced Threat Prevention. Cualquier actualización que no tenga el hash esperado se rechaza antes de abrirse.

En el agente v1481.90 para Dell Endpoint Security Suite Enterprise y v1482.90 para Dell Threat Defense se cambió la configuración para requerir la validación de toda la cadena de certificados. Dell Technologies recomienda actualizar todos los agentes a la versión más reciente para garantizar la protección y la prevención más recientes disponibles.

Los clientes que aprovechan Dell Endpoint Security Suite Enterprise pueden habilitar la actualización automática mediante la interfaz de usuario web de Dell Security Management Server para recibir esta actualización y aplicarla a todos sus terminales. Consulte la Guía de instalación avanzada v1.8 de Endpoint Security Suite Enterprise para obtener instrucciones.

Los clientes de Dell Threat Defense pueden habilitar actualizaciones para sus dispositivos siguiendo los elementos que se describen en Ajustes Configurar >actualizaciones en este artículo de la base de conocimientos aquí:

Cómo administrar Dell Threat Defense

Se identificó un ataque de escalación de privilegios verticales en Dell Endpoint Security Suite Enterprise y Dell Threat Defense. Se está adoptando un enfoque iterativo para resolver esta vulnerabilidad. Dell está trabajando con sus partners para asegurarse de que una versión de corrección esté disponible lo más rápido posible.

Un ataque de escalación de privilegios puede permitir que una parte malintencionada acceda a recursos protegidos si obtiene acceso a la computadora. Este tipo de ataque requiere que un usuario malintencionado tenga acceso al dispositivo.

Los clientes que aprovechan Dell Endpoint Security Suite Enterprise pueden habilitar la actualización automática mediante la interfaz de usuario web de Dell Security Management Server para recibir esta actualización y aplicarla a todos sus terminales. Consulte la Guía de instalación avanzada de Dell Endpoint Security Suite Enterprise v1.8 para obtener instrucciones.

Los clientes de Dell Threat Defense pueden habilitar actualizaciones para sus dispositivos siguiendo los elementos que se describen en Ajustes Configurar >actualizaciones en este artículo de la base de conocimientos aquí:

Cómo administrar Dell Threat Defense

Puede encontrar más información aquí:

https://www.atredis.com/blog/cylance-privilege-escalation-vulnerability