Sicherheitslücke durch Dell Endpoint Security Suite Enterprise und Dell Threat Defense durch Eskalation von Berechtigungen

Wenn der Advanced Threat Prevention-Agent eine Verbindung zum Update-Dienst herstellt, wird eine https-Verbindung initiiert, wodurch der ATP-Agent aufgefordert wird, zu überprüfen, ob das verwendete Zertifikat aus einer vertrauenswürdigen Quelle stammt. Der Agent sollte außerdem prüfen, ob das Zertifikat von einer gültigen, vertrauenswürdigen Stammzertifizierungsstelle signiert wurde. Vor v1481 für Dell Endpoint Security Suite Enterprise und v1482 für Dell Threat Defense hat der Agent die Stammzertifizierungsstelle nicht ordnungsgemäß validiert. Dies könnte für einen Man-in-the-Middle-Angriff verwendet werden, um eine Datei an den Agenten zu übertragen. Als sekundäre Vorsichtsmaßnahme akzeptiert der Agent jedoch nur Aktualisierungspakete mit einem identischen Hash wie erwartet.

Die Auswirkungen auf die Kunden sind minimal, da sekundäre Überprüfungen vorhanden sind, um sicherzustellen, dass keine betrügerischen Pakete zum Advanced Threat Prevention-Agenten hinzugefügt werden können. Alle Aktualisierungen, die nicht den erwarteten Hash aufweisen, werden abgelehnt, bevor sie geöffnet werden.

Agent v1481.90 für Dell Endpoint Security Suite Enterprise und v1482.90 für Dell Threat Defense hat die Einstellung dahingehend geändert, dass die gesamte Zertifikatkette validiert werden muss. Dell Technologies empfiehlt, alle Agents auf die neueste Version zu aktualisieren, um den neuesten Schutz und die bestmögliche Prävention sicherzustellen.

Kunden, die Dell Endpoint Security Suite Enterprise nutzen, können das automatische Update über die WebUI ihres Dell Security Management Servers aktivieren, damit sie dieses Update empfangen und auf alle Endpunkte anwenden können. Anweisungen dazu finden Sie im Erweiterten Installationshandbuch zu Endpoint Security Suite Enterprise v1.8 .

Kunden von Dell Threat Defense können Updates für ihre Geräte aktivieren, indem sie die unter Einstellungen >Updates konfigurieren in diesem Wissensdatenbank-Artikel beschriebenen Elemente hier ausführen:

Management von Dell Threat Defense

Innerhalb von Dell Endpoint Security Suite Enterprise und Dell Threat Defense wurde ein Angriff auf die vertikale Rechteausweitung identifiziert. Es wird ein iterativer Ansatz verfolgt, um diese Sicherheitslücke zu beheben. Dell arbeitet mit seinen Partnern zusammen, um sicherzustellen, dass so schnell wie möglich eine Korrekturversion verfügbar ist.

Ein Angriff mit Berechtigungseskalation kann einer böswilligen Partei Zugriff auf geschützte Ressourcen gewähren, wenn sie Zugriff auf den Computer erhält. Diese Art von Angriff erfordert, dass ein böswilliger Benutzer Zugriff auf das Gerät hat.

Kunden, die Dell Endpoint Security Suite Enterprise nutzen, können das automatische Update über die WebUI ihres Dell Security Management Servers aktivieren, um dieses Update zu erhalten und es auf alle Endpunkte anzuwenden. Anweisungen dazu finden Sie im erweiterten Installationshandbuch zu Dell Endpoint Security Suite Enterprise v1.8 .

Kunden von Dell Threat Defense können Updates für ihre Geräte aktivieren, indem sie die unter Einstellungen >Updates konfigurieren in diesem Wissensdatenbank-Artikel beschriebenen Elemente hier ausführen:

Management von Dell Threat Defense

Weitere Informationen finden Sie hier:

https://www.atredis.com/blog/cylance-privilege-escalation-vulnerability