Vulnerabilidade de escalonamento de privilégios do Dell Endpoint Security Suite Enterprise e do Dell Threat Defense
Summary: Este artigo descreve as vulnerabilidades que o Cylance PROTECT (fornecedor da Dell para Advanced Threat Prevention encontrado no Dell Endpoint Security Suite Enterprise e no Threat Defense) divulgou em maio de 2018. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Nota:
- Em maio de 2022, o Dell Endpoint Security Suite Enterprise deixou de receber manutenção. Este artigo não é mais atualizado pela Dell. Para obter mais informações, consulte Política de ciclo de vida do produto (fim do suporte/fim da vida útil) para o Dell Data Security. Se você tiver alguma dúvida sobre artigos alternativos, entre em contato com sua equipe de vendas ou envie um e-mail para endpointsecurity@dell.com.
- Consulte Segurança de endpoints para obter mais informações sobre os produtos atuais.
Produtos afetados:
- Dell Endpoint Security Suite Enterprise
- Dell Threat Defense
Cause
Não aplicável
Resolution
Quando o agente do Advanced Threat Prevention faz uma conexão com o Update Service, uma conexão https é iniciada, o que solicita que o agente ATP valide se o certificado que está sendo usado vem de uma fonte confiável. O agente também deve verificar se uma CA raiz confiável e válida assinou o certificado. Antes da v1481 para o Dell Endpoint Security Suite Enterprise e da v1482 para o Dell Threat Defense, o agente não validava corretamente a CA raiz. Isso pode ser usado para um ataque Man in the Middle enviar um arquivo para o agente. No entanto, como precaução secundária, o agente só aceita pacotes de atualização com um hash idêntico ao esperado.
O impacto para os clientes é mínimo, pois há verificações secundárias em vigor para garantir que nenhum pacote fraudulento possa ser adicionado ao agente do Advanced Threat Prevention. Qualquer atualização que não tenha o hash esperado é rejeitada antes de ser aberta.
O agente v1481.90 para o Dell Endpoint Security Suite Enterprise e v1482.90 para o Dell Threat Defense alterou a configuração para exigir a validação de toda a cadeia de certificados. A Dell Technologies recomenda atualizar todos os agentes para a versão mais recente a fim de garantir a proteção e prevenção mais recentes disponíveis.
Os clientes que utilizam o Dell Endpoint Security Suite Enterprise podem ativar a atualização automática usando a IU Web do Dell Security Management Server para receber essa atualização e aplicá-la a todos os endpoints. Consulte o Guia de instalação avançada do Endpoint Security Suite Enterprise v1.8 para obter instruções.
Nota: Se você não conseguir ativar a atualização automática, um pacote de atualização off-line poderá ser solicitado no Dell ProSupport.
Os clientes do Dell Threat Defense podem ativar atualizações para seus dispositivos seguindo os itens descritos em Configurações >Configurar atualizações neste artigo da base de conhecimento aqui:
Foi identificado um ataque vertical de escalonamento de privilégios no Dell Endpoint Security Suite Enterprise e no Dell Threat Defense. Uma abordagem iterativa está sendo adotada para resolver essa vulnerabilidade. A Dell está trabalhando com seus parceiros para garantir que uma versão de correção esteja disponível o mais rápido possível.
Um ataque de escalonamento de privilégios pode permitir que uma parte mal-intencionada acesse recursos protegidos se ela obtiver acesso ao computador. Esse tipo de ataque exige que um usuário mal-intencionado tenha acesso ao dispositivo.
Os clientes que utilizam o Dell Endpoint Security Suite Enterprise podem ativar a atualização automática usando a IU Web do Dell Security Management Server para receber essa atualização e aplicá-la a todos os endpoints. Consulte o Guia de instalação avançada do Dell Endpoint Security Suite Enterprise v1.8 para obter instruções.
Nota: Se você não conseguir ativar a atualização automática, um pacote de atualização off-line poderá ser solicitado no Dell ProSupport.
Os clientes do Dell Threat Defense podem ativar atualizações para seus dispositivos seguindo os itens descritos em Configurações >Configurar atualizações neste artigo da base de conhecimento aqui:
Como gerenciar o Dell Threat Defense
Mais informações podem ser encontradas aqui:
https://www.atredis.com/blog/cylance-privilege-escalation-vulnerability
Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.
Additional Information
Videos
Affected Products
Dell Threat Defense, Dell Endpoint Security Suite EnterpriseArticle Properties
Article Number: 000131222
Article Type: Solution
Last Modified: 18 Jun 2024
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.