Podatność Dell Endpoint Security Suite Enterprise i Dell Threat Defense na eskalację uprawnień

Gdy agent Advanced Threat Prevention nawiązuje połączenie z usługą aktualizacji, inicjowane jest połączenie HTTPS, co monituje agenta ATP o sprawdzenie, czy używany certyfikat pochodzi z zaufanego źródła. Agent powinien również sprawdzić, czy certyfikat jest prawidłowo podpisany przez zaufany główny urząd certyfikacji. Przed wersją 1481 dla rozwiązania Dell Endpoint Security Suite Enterprise i wersją 1482 dla programu Dell Threat Defense agent nie zweryfikował prawidłowo głównego urzędu certyfikacji. Może to być wykorzystane w przypadku ataku Man in the Middle w celu wypchnięcia pliku do agenta. Jednak jako dodatkowy środek ostrożności agent akceptuje tylko pakiety aktualizacji z mieszaszem identycznym z oczekiwanym.

Wpływ na klientów jest minimalny, ponieważ istnieją dodatkowe kontrole w celu zapewnienia, że do agenta Advanced Threat Prevention nie można dodać żadnych fałszywych pakietów. Każda aktualizacja, która nie ma oczekiwanego skrótu, jest odrzucana przed otwarciem.

Agent w wersji 1481.90 dla rozwiązania Dell Endpoint Security Suite Enterprise i w wersji 1482.90 dla programu Dell Threat Defense zmienił ustawienie w celu wymagania weryfikacji całego łańcucha certyfikatów. Firma Dell Technologies zaleca aktualizację wszystkich agentów do najnowszej wersji, aby zapewnić najlepszą ochronę i zapobieganie.

Klienci używający rozwiązania Dell Endpoint Security Suite Enterprise mogą włączyć automatyczną aktualizację za pomocą interfejsu WebUI serwera Dell Security Management Server w celu otrzymania tej aktualizacji i zastosowania jej do wszystkich punktów końcowych. Instrukcje można znaleźć w podręczniku zaawansowanej instalacji rozwiązania Endpoint Security Suite Enterprise 1.8 .

Klienci programu Dell Threat Defense mogą włączyć aktualizacje swoich urządzeń, postępując zgodnie z instrukcjami opisanymi w sekcji Konfigurowanie >aktualizacji ustawień w tym artykule bazy wiedzy:

Jak zarządzać programem Dell Threat Defense

W ramach rozwiązania Dell Endpoint Security Suite Enterprise i Dell Threat Defense zidentyfikowano atak polegający na eskalacji uprawnień pionowych. Wdrażane jest podejście iteracyjne w celu usunięcia tej luki. Firma Dell współpracuje ze swoimi partnerami, aby zapewnić jak najszybsze udostępnienie poprawki.

Atak eskalacji uprawnień może umożliwić złośliwej stronie dostęp do chronionych zasobów, jeśli uzyska dostęp do komputera. Ten typ ataku wymaga, aby złośliwy użytkownik miał dostęp do urządzenia.

Klienci używający rozwiązania Dell Endpoint Security Suite Enterprise mogą włączyć automatyczną aktualizację za pomocą interfejsu WebUI serwera Dell Security Management Server w celu otrzymania tej aktualizacji i zastosowania jej do wszystkich punktów końcowych. Zapoznaj się z instrukcjami w podręczniku zaawansowanej instalacji rozwiązania Dell Endpoint Security Suite Enterprise 1.8 .

Klienci programu Dell Threat Defense mogą włączyć aktualizacje swoich urządzeń, postępując zgodnie z instrukcjami opisanymi w sekcji Konfigurowanie >aktualizacji ustawień w tym artykule bazy wiedzy:

Jak zarządzać programem Dell Threat Defense

Więcej informacji można znaleźć tutaj:

https://www.atredis.com/blog/cylance-privilege-escalation-vulnerability