Beveiligingslek met betrekking tot Dell Endpoint Security Suite Enterprise en Dell Threat Defense Escalatie van bevoegdheden

Wanneer de Advanced Threat Prevention-agent een verbinding maakt met de updateservice, wordt een https-verbinding tot stand gebracht, waarna de ATP-agent wordt gevraagd te valideren dat het gebruikte certificaat afkomstig is van een vertrouwde bron. De agent moet ook controleren of een geldige, vertrouwde root-CA het certificaat heeft ondertekend. Vóór v1481 voor Dell Endpoint Security Suite Enterprise en v1482 voor Dell Threat Defense heeft de agent de basis-CA niet correct gevalideerd. Dit kan worden gebruikt voor een Man in the Middle-aanval om een bestand naar de agent te pushen. Als secundaire voorzorgsmaatregel accepteert de agent echter alleen updatepakketten met een identieke hash als wat wordt verwacht.

De impact op klanten is minimaal, omdat er secundaire controles worden uitgevoerd om ervoor te zorgen dat er geen frauduleuze pakketten kunnen worden toegevoegd aan de Advanced Threat Prevention-agent. Elke update die niet de verwachte hash heeft, wordt geweigerd voordat deze wordt geopend.

Agent v1481.90 voor Dell Endpoint Security Suite Enterprise en v1482.90 voor Dell Threat Defense heeft de instelling gewijzigd zodat validatie van de gehele certificaatketen vereist is. Dell Technologies raadt aan om alle Agents bij te werken naar de nieuwste versie om de nieuwste beschikbare bescherming en preventie te garanderen.

Klanten die gebruikmaken van Dell Endpoint Security Suite Enterprise kunnen autoupdate inschakelen via de WebUI van hun Dell Security Management Server om deze update te ontvangen en toe te passen op al hun eindpunten. Raadpleeg Endpoint Security Suite Enterprise Advanced Installation Guide v1.8 voor instructies.

Klanten van Dell Threat Defense kunnen updates voor hun apparaten inschakelen door de items te volgen die worden beschreven onder Instellingen >updates configureren in dit Knowledge Base-artikel hier:

Dell Threat Defense beheren

Er is een verticale aanval met privilege-escalatie geïdentificeerd binnen Dell Endpoint Security Suite Enterprise en Dell Threat Defense. Er wordt een iteratieve aanpak gevolgd om dit beveiligingslek op te lossen. Dell werkt samen met zijn partners om ervoor te zorgen dat er zo snel mogelijk een verbeterde versie beschikbaar is.

Een privilege-escalatieaanval kan een kwaadwillende partij toegang geven tot beschermde bronnen als ze toegang krijgen tot de computer. Voor dit type aanval moet een kwaadwillende gebruiker toegang hebben tot het apparaat.

Klanten die gebruikmaken van Dell Endpoint Security Suite Enterprise kunnen autoupdate inschakelen via de WebUI van hun Dell Security Management Server om deze update te ontvangen en toe te passen op al hun eindpunten. Raadpleeg Dell Endpoint Security Suite Enterprise Advanced Installation Guide v1.8 voor instructies.

Klanten van Dell Threat Defense kunnen updates voor hun apparaten inschakelen door de items te volgen die worden beschreven onder Instellingen >updates configureren in dit Knowledge Base-artikel hier:

Dell Threat Defense beheren

Meer informatie vindt u hier:

https://www.atredis.com/blog/cylance-privilege-escalation-vulnerability