Sikkerhetsproblem med eskalering av rettigheter for Dell Endpoint Security Suite Enterprise og Dell Threat Defense

Når agenten for avansert trusselforhindring kobler til oppdateringstjenesten at en https-tilkobling startes, blir du bedt om at ATP-agenten bekrefter at sertifikatet som brukes, kommer fra en klarert kilde. Agenten bør også kontrollere at en gyldig, klarert rotsertifiseringsinstans har signert sertifikatet. Før v1481 for Dell Endpoint Security Suite Enterprise og v1482 for Dell Threat Defense validerte ikke agenten rotsertifiseringsinstansen på riktig måte. Dette kan brukes til et Man in the Middle-angrep for å skyve en fil ned til agenten. Som en sekundær forholdsregel godtar imidlertid agenten bare oppdateringspakker med en identisk hash-kode som forventet.

Innvirkningen på kundene er minimal, siden det er sekundære kontroller på plass for å sikre at ingen falske pakker kan legges til Advanced Threat Prevention-agenten. Alle oppdateringer som ikke har den forventede hash-koden, avvises før de åpnes.

Agent v1481.90 for Dell Endpoint Security Suite Enterprise og v1482.90 for Dell Threat Defense har endret innstillingen til å kreve validering av hele sertifikatkjeden. Dell Technologies anbefaler at du oppdaterer alle agenter til den nyeste versjonen for å sikre den nyeste beskyttelsen og forhindringen som er tilgjengelig.

Kunder som bruker Dell Endpoint Security Suite Enterprise, kan aktivere automatiske oppdateringer ved hjelp av webgrensesnittet til Dell Security Management Server for å motta denne oppdateringen og den som skal brukes på alle endepunktene. Se Endpoint Security Suite Enterprise Advanced Installation Guide v1.8 for å få instruksjoner.

Dell Threat Defense-kunder kan aktivere oppdateringer for enhetene sine ved å følge elementene som er beskrevet under Innstillinger >Configure Updates i denne kunnskapsbaseartikkelen her:

Slik administrerer du Dell Threat Defense

Et angrep med vertikal eskalering av privilegier er identifisert innen Dell Endpoint Security Suite Enterprise og Dell Threat Defense. En iterativ tilnærming blir tatt for å løse dette sikkerhetsproblemet. Dell samarbeider med partnerne sine for å sikre at en reparasjonsversjon er tilgjengelig så raskt som mulig.

Et angrep med eskalering av privilegier kan gi ondsinnede parter tilgang til beskyttede ressurser hvis de får tilgang til datamaskinen. Denne typen angrep krever at en ondsinnet bruker har tilgang til enheten.

Kunder som bruker Dell Endpoint Security Suite Enterprise, kan aktivere automatiske oppdateringer ved hjelp av webgrensesnittet til Dell Security Management Server for å motta denne oppdateringen og den som skal brukes på alle endepunktene. Se Dell Endpoint Security Suite Enterprise Advanced Installation Guide v1.8 for instruksjoner.

Dell Threat Defense-kunder kan aktivere oppdateringer for enhetene sine ved å følge elementene som er beskrevet under Innstillinger >Configure Updates i denne kunnskapsbaseartikkelen her:

Slik administrerer du Dell Threat Defense

Mer informasjon finner du her:

https://www.atredis.com/blog/cylance-privilege-escalation-vulnerability