Dell Endpoint Security Suite EnterpriseおよびDell Threat Defenseの権限の脆弱性エスカレーション

Advanced Threat Prevention エージェントがアップデートサービスへの接続を確立すると、https 接続が開始されます。これにより、ATP エージェントは、使用されている証明書が信頼できるソースから取得されていることを検証するように求められます。エージェントは、証明書に署名された有効な信頼済みルートCAを確認する必要もあります。Dell Endpoint Security Suite Enterpriseの場合はv1481、Dell Threat Defenseの場合はv1482より前は、エージェントがルートCAを正しく検証しませんでした。これは、中間者攻撃でファイルをエージェントにプッシュするために使用できます。ただし、二次的な予防措置として、エージェントは期待されるハッシュと同一のハッシュを持つアップデート パッケージのみを受け入れます。

Advanced Threat Prevention エージェントに不正なパッケージを追加できないことを保証するセカンダリ チェックが実施されているため、お客様への影響は最小限に抑えられます。予想されるハッシュを持たない更新は、開く前に拒否されます。

Dell Endpoint Security Suite Enterprise用のエージェントv1481.90とDell Threat Defense用のv1482.90は、証明書チェーン全体の検証を必要とするように設定を変更しました。デルでは、すべてのエージェントを最新バージョンにアップデートして、最新の保護と防止を確実に利用することをお勧めします。

Dell Endpoint Security Suite Enterpriseを利用しているお客様は、Dell Security Management ServerのWebUIを使用して自動アップデートを有効にして、このアップデートを受け取り、すべてのエンドポイントに適用することができます。手順については、 Endpoint Security Suite Enterprise Advanced Installation Guide v1.8 を参照してください。

Dell Threat Defenseのお客様は、このナレッジベース記事の「設定」>「アップデートの設定」に記載されている項目に従って、デバイスのアップデートを有効にすることができます。

Dell Threat Defenseコンソールの管理方法

Dell Endpoint Security Suite EnterpriseおよびDell Threat Defense内で、垂直的特権エスカレーション攻撃が特定されました。この脆弱性を解決するために反復的なアプローチが取られています。デルはパートナーと協力して、修正バージョンを可能な限り迅速に入手できるようにしています。

特権エスカレーション攻撃により、悪意のあるユーザーがコンピューターにアクセスできる場合、保護されたリソースに悪意のあるアクセスが許可される可能性があります。このタイプの攻撃では、悪意のあるユーザーがデバイスにアクセスする必要があります。

Dell Endpoint Security Suite Enterpriseを利用しているお客様は、Dell Security Management ServerのWebUIを使用して自動アップデートを有効にして、このアップデートを受け取り、すべてのエンドポイントに適用することができます。手順については、『 Dell Endpoint Security Suite Enterprise Advanced Installation Guide v1.8 』を参照してください。

Dell Threat Defenseのお客様は、このナレッジベース記事の「設定」>「アップデートの設定」に記載されている項目に従って、デバイスのアップデートを有効にすることができます。

Dell Threat Defenseコンソールの管理方法

詳細については、 こちら を参照してください。

https://www.atredis.com/blog/cylance-privilege-escalation-vulnerability