Уязвимость Dell Endpoint Security Suite Enterprise и Dell Threat Defense, делая возможным неуягодное повышение прав

Когда агент Advanced Threat Prevention подключается к службе обновления, инициируется подключение https, агент ATP должен проверить, что используемый сертификат получается от доверенного источника. Агент также должен проверить, что сертификат подписан действительным доверенным корневым ЦС. До версии 1481 для Dell Endpoint Security Suite Enterprise и v1482 для Dell Threat Defense агент неправильно валидировать корневой ЦС. Это может быть использовано для man in the Middle attack для отправки файла агенту. Однако в качестве дополнительной меры предосторожности агент принимает пакеты обновления только с идентичным хэшом, что и ожидается.

Последствия для заказчиков минимальны, так как в агент Advanced Threat Prevention предусмотрены дополнительные проверки, которые гарантируют, что не могут быть добавлены ложные пакеты. Любое обновление без ожидаемого хэша отклоняется перед открытием.

Агент v1481.90 для Dell Endpoint Security Suite Enterprise и v1482.90 для Dell Threat Defense изменил настройку, чтобы потребовать валидации всей цепочки сертификатов. Dell рекомендует обновить все агенты до последней версии, чтобы обеспечить последнюю доступную защиту и предотвращение.

Заказчики, использующие Dell Endpoint Security Suite Enterprise, могут включить автоматическое обновление через веб-интерфейс сервера Dell Security Management Server, чтобы получить это обновление и применить его ко всем конечным устройствам. Инструкции см. в Руководстве по расширенной установке Endpoint Security Suite Enterprise версии 1.8 .

Заказчики Dell Threat Defense могут включить обновления для своих устройств, выполнив действия, описанные в разделе «Settings -> "Configure Updates" в этой статье базы знаний:

Как управлять Dell Threat Defense

В Dell Endpoint Security Suite Enterprise и Dell Threat Defense обнаружена вертикально масштабная атака с повышением привилегий. Для устранения этой уязвимости используется итеративный подход. Корпорация Dell работает со своими партнерами, чтобы максимально быстро получить версию исправления.

Атака с повышением прав может предоставить злоумышленникам доступ к защищенным ресурсам, если они получают доступ к компьютеру. Для такого типа атаки требуется, чтобы злоумышленник иметь доступ к устройству.

Заказчики, использующие Dell Endpoint Security Suite Enterprise, могут включить автоматическое обновление через веб-интерфейс сервера Dell Security Management Server, чтобы получить это обновление и применить его ко всем конечным устройствам. Инструкции см. в руководстве по расширенной установке Dell Endpoint Security Suite Enterprise версии 1.8 .

Заказчики Dell Threat Defense могут включить обновления для своих устройств, выполнив действия, описанные в разделе «Settings -> "Configure Updates" в этой статье базы знаний:

Как управлять Dell Threat Defense

Дополнительную информацию можно найти здесь:

https://www.atredis.com/blog/cylance-privilege-escalation-vulnerability