Mit Sophos EDR Endpoints ermitteln, die von der Dell-Kernel-Treiber-Sicherheitsanfälligkeit „CVE-2021-21551“ betroffen sind

ResourcesBedrohungen & MalwareSophos EDR

Mit dieser Abfrage ermitteln Sie schnell und einfach Endpoints, die von der Dell-Kernel-Treiber-Sicherheitsanfälligkeit „CVE-2021-21551“ betroffen sind.

06.05.2021 Von

In einem der Windows-Kernel-Treiber von Dell wurden mehrere Exploits gefunden. Die fünf damit in Zusammenhang stehenden Bugs, die unter anderem Rechteausweitungen, Denial-of-Service oder eine Offenlegung vertraulicher Informationen zur Folge haben können, wurden als „CVE-2021-21551“ klassifiziert.

Dell veröffentlichte am 4. Mai 2021 einen Patch für diese Sicherheitsanfälligkeiten. Wir empfehlen Ihnen und Ihren Kunden, den Patch umgehend zu installieren.

Da die Bugs teilweise bereits 2009 auftraten, umfasst die Liste der betroffenen Produkte von Dell mehrere Seiten. Daher können IT-Abteilungen nur schwer feststellen, ob und in welchem Umfang ihr Unternehmen von dem Problem betroffen ist, und Ressourcen für die Problembehebung nicht einfach planen.

Abfragen mit Sophos EDR

Mit Sophos Endpoint Detection and Response (EDR) lässt sich die zur Sicherheitsanfälligkeit gehörige Datei schnell auf allen Geräten ermitteln. So können Sie Ihre Ressourcen effektiv einsetzen und das Problem zeitnah beheben.

Wir haben eine benutzerdefinierte Abfrage erstellt, mit der Sie betroffene Endpoints in Ihrer gesamten Umgebung ermitteln können. Damit lässt sich auch feststellen, ob ein Endpoint nicht betroffen ist.

Rufen Sie das Threat Analysis Center in Sophos Central auf, wählen Sie „Live Discover“ und erstellen Sie eine neue Abfrage.

Wählen Sie die Option „Neue Abfrage erstellen“

Kopieren Sie die folgende Abfrage und fügen Sie sie ein:

  -- Check if the dbutil_2_3.sys file is present or not SELECT    CASE WHEN (SELECT 1 FROM file WHERE path LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path LIKE 'C:\Windows\Temp\dbutil_2_3.sys') = 1       THEN 'SYSTEM REQUIRES ATTENTION: File for CVE-2021-21551 (dbutil_2.3.sys) located in directory '|| (SELECT directory FROM file WHERE path LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path LIKE 'C:\Windows\Temp\dbutil_2_3.sys')       ELSE 'File for CVE-2021-21551 (dbutil_2_3.sys) not found'   END Status

 

Führen Sie die Abfrage in Ihrer gesamten Umgebung aus.

Problembehebung auf betroffenen Geräten

Dell bietet Anweisungen zur manuellen Entfernung des betroffenen Kernel-Treibers, der sich an den beiden folgenden Speicherorten befinden kann:

  • C:\Users\%USERNAME%\AppData\Local\Temp\dbutil_2_3.sys
  • C:\Windows\Temp\dbutil_2_3.sys

Wenn Sie Systemdateien nicht manuell entfernen möchten, finden Sie auf der Download-Seite von Dell ein Tool zur automatischen Treiber-Entfernung.

Weitere Informationen

Nähere Informationen zu der Sicherheitsanfälligkeit und möglichen Exploits finden Sie in unserem Naked-Security-Artikel.

Sophos EDR ist für Endpoints und Server erhältlich und in Intercept X Subscriptions inbegriffen. Überzeugen Sie sich jetzt selbst – mit einer kostenlosen 30-Tage-Testversion:

  • Sophos-Central-Kunden können die Testversion direkt über ihre Management-Konsole per Klick auf „Kostenlose Testversionen“ im linken unteren Seitenbereich aktivieren.
  • Nicht-Sophos-Kunden können die kostenlose Testversion über unsere Website herunterladen.

Informationen zum Autor

Sophos is a global leader and innovator of advanced security solutions that defeat cyberattacks, including Managed Detection and Response (MDR) and incident response services and a broad portfolio of endpoint, network, email, and cloud security technologies. As one of the largest pure-play cybersecurity providers, Sophos defends more than 600,000 organizations and more than 100 million users worldwide from active adversaries, ransomware, phishing, malware, and more. Sophos’ services and products connect through the Sophos Central management console and are powered by Sophos X-Ops, the company’s cross-domain threat intelligence unit. Sophos X-Ops intelligence optimizes the entire Sophos Adaptive Cybersecurity Ecosystem, which includes a centralized data lake that leverages a rich set of open APIs available to customers, partners, developers, and other cybersecurity and information technology vendors. Sophos provides cybersecurity-as-a-service to organizations needing fully managed security solutions. Customers can also manage their cybersecurity directly with Sophos’ security operations platform or use a hybrid approach by supplementing their in-house teams with Sophos’ services, including threat hunting and remediation. Sophos sells through reseller partners and managed service providers (MSPs) worldwide. Sophos is headquartered in Oxford, U.K. More information is available at www.sophos.com.