Dell Endpoint Security Suite Enterprise och Dell Threat Defense Sårbarhet vid eskalering av privilegier

När Advanced Threat Prevention-agenten ansluter till uppdateringstjänsten initieras en https-anslutning, vilket uppmanar ATP-agenten att verifiera att certifikatet som används kommer från en betrodd källa. Agenten bör också kontrollera att en giltig, betrodd rotcertifikatutfärdare har signerat certifikatet. Före v1481 för Dell Endpoint Security Suite Enterprise och v1482 för Dell Threat Defense validerade agenten inte rotcertifikatutfärdaren korrekt. Detta kan användas för en Man in the Middle-attack för att skicka en fil till agenten. Som en sekundär försiktighetsåtgärd accepterar agenten dock endast uppdateringspaket med en identisk hash som förväntas.

Påverkan på kunderna är minimal, eftersom det finns sekundära kontroller på plats för att säkerställa att inga bedrägliga paket kan läggas till i Advanced Threat Prevention-agenten. Alla uppdateringar som inte har den förväntade hashen avvisas innan de öppnas.

Agent v1481.90 för Dell Endpoint Security Suite Enterprise och v1482.90 för Dell Threat Defense har ändrat inställningen så att validering av hela certifikatkedjan krävs. Dell Technologies rekommenderar att du uppdaterar alla agenter till den senaste versionen för att säkerställa senaste skydd och förebyggande åtgärder.

Kunder som använder Dell Endpoint Security Suite Enterprise kan aktivera automatisk uppdatering med hjälp av webbgränssnittet på sin Dell Security Management Server för att få den här uppdateringen och den ska tillämpas på alla sina slutpunkter. Se Endpoint Security Suite Enterprise Advanced Installation Guide v1.8 för instruktioner.

Dell Threat Defense-kunder kan aktivera uppdateringar för sina enheter genom att följa de objekt som beskrivs under Inställningar >Konfigurera uppdateringar i den här kunskapsbasartikeln här:

Så hanterar du Dell Threat Defense

En vertikal privilegieeskaleringsattack har identifierats i Dell Endpoint Security Suite Enterprise och Dell Threat Defense. En iterativ metod används för att lösa det här säkerhetsproblemet. Dell arbetar med sina partner för att se till att en korrigeringsversion finns tillgänglig så snart som möjligt.

En privilegieeskaleringsattack kan ge en obehörig part åtkomst till skyddade resurser om de får åtkomst till datorn. Den här typen av attack kräver att en obehörig användare har åtkomst till enheten.

Kunder som använder Dell Endpoint Security Suite Enterprise kan aktivera automatisk uppdatering med hjälp av webbgränssnittet på sin Dell Security Management Server för att få den här uppdateringen och den ska tillämpas på alla sina slutpunkter. Se Dell Endpoint Security Suite Enterprise Advanced Installation Guide v1.8 för instruktioner.

Dell Threat Defense-kunder kan aktivera uppdateringar för sina enheter genom att följa de objekt som beskrivs under Inställningar >Konfigurera uppdateringar i den här kunskapsbasartikeln här:

Så hanterar du Dell Threat Defense

Mer information hittar du här:

https://www.atredis.com/blog/cylance-privilege-escalation-vulnerability