Vulnerabilidade de escalonamento de privilégios do Dell Endpoint Security Suite Enterprise e do Dell Threat Defense

Quando o agente do Advanced Threat Prevention faz uma conexão com o Update Service, uma conexão https é iniciada, o que solicita que o agente ATP valide se o certificado que está sendo usado vem de uma fonte confiável. O agente também deve verificar se uma CA raiz confiável e válida assinou o certificado. Antes da v1481 para o Dell Endpoint Security Suite Enterprise e da v1482 para o Dell Threat Defense, o agente não validava corretamente a CA raiz. Isso pode ser usado para um ataque Man in the Middle enviar um arquivo para o agente. No entanto, como precaução secundária, o agente só aceita pacotes de atualização com um hash idêntico ao esperado.

O impacto para os clientes é mínimo, pois há verificações secundárias em vigor para garantir que nenhum pacote fraudulento possa ser adicionado ao agente do Advanced Threat Prevention. Qualquer atualização que não tenha o hash esperado é rejeitada antes de ser aberta.

O agente v1481.90 para o Dell Endpoint Security Suite Enterprise e v1482.90 para o Dell Threat Defense alterou a configuração para exigir a validação de toda a cadeia de certificados. A Dell Technologies recomenda atualizar todos os agentes para a versão mais recente a fim de garantir a proteção e prevenção mais recentes disponíveis.

Os clientes que utilizam o Dell Endpoint Security Suite Enterprise podem ativar a atualização automática usando a IU Web do Dell Security Management Server para receber essa atualização e aplicá-la a todos os endpoints. Consulte o Guia de instalação avançada do Endpoint Security Suite Enterprise v1.8 para obter instruções.

Os clientes do Dell Threat Defense podem ativar atualizações para seus dispositivos seguindo os itens descritos em Configurações >Configurar atualizações neste artigo da base de conhecimento aqui:

Como gerenciar o Dell Threat Defense

Foi identificado um ataque vertical de escalonamento de privilégios no Dell Endpoint Security Suite Enterprise e no Dell Threat Defense. Uma abordagem iterativa está sendo adotada para resolver essa vulnerabilidade. A Dell está trabalhando com seus parceiros para garantir que uma versão de correção esteja disponível o mais rápido possível.

Um ataque de escalonamento de privilégios pode permitir que uma parte mal-intencionada acesse recursos protegidos se ela obtiver acesso ao computador. Esse tipo de ataque exige que um usuário mal-intencionado tenha acesso ao dispositivo.

Os clientes que utilizam o Dell Endpoint Security Suite Enterprise podem ativar a atualização automática usando a IU Web do Dell Security Management Server para receber essa atualização e aplicá-la a todos os endpoints. Consulte o Guia de instalação avançada do Dell Endpoint Security Suite Enterprise v1.8 para obter instruções.

Os clientes do Dell Threat Defense podem ativar atualizações para seus dispositivos seguindo os itens descritos em Configurações >Configurar atualizações neste artigo da base de conhecimento aqui:

Como gerenciar o Dell Threat Defense

Mais informações podem ser encontradas aqui:

https://www.atredis.com/blog/cylance-privilege-escalation-vulnerability