In einem der Windows-Kernel-Treiber von Dell wurden mehrere Exploits gefunden. Die fünf damit in Zusammenhang stehenden Bugs, die unter anderem Rechteausweitungen, Denial-of-Service oder eine Offenlegung vertraulicher Informationen zur Folge haben können, wurden als „CVE-2021-21551“ klassifiziert.
Dell veröffentlichte am 4. Mai 2021 einen Patch für diese Sicherheitsanfälligkeiten. Wir empfehlen Ihnen und Ihren Kunden, den Patch umgehend zu installieren.
Da die Bugs teilweise bereits 2009 auftraten, umfasst die Liste der betroffenen Produkte von Dell mehrere Seiten. Daher können IT-Abteilungen nur schwer feststellen, ob und in welchem Umfang ihr Unternehmen von dem Problem betroffen ist, und Ressourcen für die Problembehebung nicht einfach planen.
Abfragen mit Sophos EDR
Mit Sophos Endpoint Detection and Response (EDR) lässt sich die zur Sicherheitsanfälligkeit gehörige Datei schnell auf allen Geräten ermitteln. So können Sie Ihre Ressourcen effektiv einsetzen und das Problem zeitnah beheben.
Wir haben eine benutzerdefinierte Abfrage erstellt, mit der Sie betroffene Endpoints in Ihrer gesamten Umgebung ermitteln können. Damit lässt sich auch feststellen, ob ein Endpoint nicht betroffen ist.
Rufen Sie das Threat Analysis Center in Sophos Central auf, wählen Sie „Live Discover“ und erstellen Sie eine neue Abfrage.
Kopieren Sie die folgende Abfrage und fügen Sie sie ein:
-- Check if the dbutil_2_3.sys file is present or not SELECT CASE WHEN (SELECT 1 FROM file WHERE path LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path LIKE 'C:\Windows\Temp\dbutil_2_3.sys') = 1 THEN 'SYSTEM REQUIRES ATTENTION: File for CVE-2021-21551 (dbutil_2.3.sys) located in directory '|| (SELECT directory FROM file WHERE path LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path LIKE 'C:\Windows\Temp\dbutil_2_3.sys') ELSE 'File for CVE-2021-21551 (dbutil_2_3.sys) not found' END Status
Führen Sie die Abfrage in Ihrer gesamten Umgebung aus.
Problembehebung auf betroffenen Geräten
Dell bietet Anweisungen zur manuellen Entfernung des betroffenen Kernel-Treibers, der sich an den beiden folgenden Speicherorten befinden kann:
- C:\Users\%USERNAME%\AppData\Local\Temp\dbutil_2_3.sys
- C:\Windows\Temp\dbutil_2_3.sys
Wenn Sie Systemdateien nicht manuell entfernen möchten, finden Sie auf der Download-Seite von Dell ein Tool zur automatischen Treiber-Entfernung.
Weitere Informationen
Nähere Informationen zu der Sicherheitsanfälligkeit und möglichen Exploits finden Sie in unserem Naked-Security-Artikel.
Sophos EDR ist für Endpoints und Server erhältlich und in Intercept X Subscriptions inbegriffen. Überzeugen Sie sich jetzt selbst – mit einer kostenlosen 30-Tage-Testversion:
- Sophos-Central-Kunden können die Testversion direkt über ihre Management-Konsole per Klick auf „Kostenlose Testversionen“ im linken unteren Seitenbereich aktivieren.
- Nicht-Sophos-Kunden können die kostenlose Testversion über unsere Website herunterladen.