Mit Sophos EDR Endpoints ermitteln, die von der Dell-Kernel-Treiber-Sicherheitsanfälligkeit „CVE-2021-21551“ betroffen sind

Info-MaterialienBedrohungen & MalwareSophos EDR

Mit dieser Abfrage ermitteln Sie schnell und einfach Endpoints, die von der Dell-Kernel-Treiber-Sicherheitsanfälligkeit „CVE-2021-21551“ betroffen sind.

In einem der Windows-Kernel-Treiber von Dell wurden mehrere Exploits gefunden. Die fünf damit in Zusammenhang stehenden Bugs, die unter anderem Rechteausweitungen, Denial-of-Service oder eine Offenlegung vertraulicher Informationen zur Folge haben können, wurden als „CVE-2021-21551“ klassifiziert.

Dell veröffentlichte am 4. Mai 2021 einen Patch für diese Sicherheitsanfälligkeiten. Wir empfehlen Ihnen und Ihren Kunden, den Patch umgehend zu installieren.

Da die Bugs teilweise bereits 2009 auftraten, umfasst die Liste der betroffenen Produkte von Dell mehrere Seiten. Daher können IT-Abteilungen nur schwer feststellen, ob und in welchem Umfang ihr Unternehmen von dem Problem betroffen ist, und Ressourcen für die Problembehebung nicht einfach planen.

Abfragen mit Sophos EDR

Mit Sophos Endpoint Detection and Response (EDR) lässt sich die zur Sicherheitsanfälligkeit gehörige Datei schnell auf allen Geräten ermitteln. So können Sie Ihre Ressourcen effektiv einsetzen und das Problem zeitnah beheben.

Wir haben eine benutzerdefinierte Abfrage erstellt, mit der Sie betroffene Endpoints in Ihrer gesamten Umgebung ermitteln können. Damit lässt sich auch feststellen, ob ein Endpoint nicht betroffen ist.

Rufen Sie das Threat Analysis Center in Sophos Central auf, wählen Sie „Live Discover“ und erstellen Sie eine neue Abfrage.

Wählen Sie die Option „Neue Abfrage erstellen“

Kopieren Sie die folgende Abfrage und fügen Sie sie ein:

  -- Check if the dbutil_2_3.sys file is present or not SELECT    CASE WHEN (SELECT 1 FROM file WHERE path LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path LIKE 'C:\Windows\Temp\dbutil_2_3.sys') = 1       THEN 'SYSTEM REQUIRES ATTENTION: File for CVE-2021-21551 (dbutil_2.3.sys) located in directory '|| (SELECT directory FROM file WHERE path LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path LIKE 'C:\Windows\Temp\dbutil_2_3.sys')       ELSE 'File for CVE-2021-21551 (dbutil_2_3.sys) not found'   END Status

 

Führen Sie die Abfrage in Ihrer gesamten Umgebung aus.

Problembehebung auf betroffenen Geräten

Dell bietet Anweisungen zur manuellen Entfernung des betroffenen Kernel-Treibers, der sich an den beiden folgenden Speicherorten befinden kann:

  • C:\Users\%USERNAME%\AppData\Local\Temp\dbutil_2_3.sys
  • C:\Windows\Temp\dbutil_2_3.sys

Wenn Sie Systemdateien nicht manuell entfernen möchten, finden Sie auf der Download-Seite von Dell ein Tool zur automatischen Treiber-Entfernung.

Weitere Informationen

Nähere Informationen zu der Sicherheitsanfälligkeit und möglichen Exploits finden Sie in unserem Naked-Security-Artikel.

Sophos EDR ist für Endpoints und Server erhältlich und in Intercept X Subscriptions inbegriffen. Überzeugen Sie sich jetzt selbst – mit einer kostenlosen 30-Tage-Testversion:

  • Sophos-Central-Kunden können die Testversion direkt über ihre Management-Konsole per Klick auf „Kostenlose Testversionen“ im linken unteren Seitenbereich aktivieren.
  • Nicht-Sophos-Kunden können die kostenlose Testversion über unsere Website herunterladen.