{"id":3081,"date":"2021-05-06T11:34:40","date_gmt":"2021-05-06T11:34:40","guid":{"rendered":"https:\/\/partnernews.sophos.com\/de-de\/?p=3081"},"modified":"2021-09-21T14:46:41","modified_gmt":"2021-09-21T14:46:41","slug":"using-sophos-edr-to-identify-endpoints-impacted-by-dell-kernel-driver-vulnerability-cve-2021-21551","status":"publish","type":"post","link":"https:\/\/partnernews.sophos.com\/de-de\/2021\/05\/resources\/using-sophos-edr-to-identify-endpoints-impacted-by-dell-kernel-driver-vulnerability-cve-2021-21551\/","title":{"rendered":"Mit Sophos\u00a0EDR Endpoints ermitteln, die von der Dell-Kernel-Treiber-Sicherheitsanf\u00e4lligkeit \u201eCVE-2021-21551\u201c betroffen sind"},"content":{"rendered":"

In einem der Windows-Kernel-Treiber von Dell wurden mehrere Exploits gefunden. Die f\u00fcnf damit in Zusammenhang stehenden Bugs, die unter anderem Rechteausweitungen, Denial-of-Service oder eine Offenlegung vertraulicher Informationen zur Folge haben k\u00f6nnen, wurden als \u201eCVE-2021-21551\u201c klassifiziert.<\/p>\n

Dell ver\u00f6ffentlichte am 4.\u00a0Mai\u00a02021 einen\u00a0Patch f\u00fcr diese Sicherheitsanf\u00e4lligkeiten<\/a>. Wir empfehlen Ihnen und Ihren Kunden, den Patch umgehend zu installieren.<\/p>\n

Da die Bugs teilweise bereits 2009 auftraten, umfasst die Liste der betroffenen Produkte von Dell mehrere Seiten. Daher k\u00f6nnen IT-Abteilungen nur schwer feststellen, ob und in welchem Umfang ihr Unternehmen von dem Problem betroffen ist, und Ressourcen f\u00fcr die Problembehebung nicht einfach planen.<\/p>\n

Abfragen mit Sophos\u00a0EDR<\/h2>\n

Mit Sophos Endpoint Detection and Response<\/a>\u00a0(EDR) l\u00e4sst sich die zur Sicherheitsanf\u00e4lligkeit geh\u00f6rige Datei schnell auf allen Ger\u00e4ten ermitteln. So k\u00f6nnen Sie Ihre Ressourcen effektiv einsetzen und das Problem zeitnah beheben.<\/p>\n

Wir haben eine benutzerdefinierte Abfrage erstellt, mit der Sie betroffene Endpoints in Ihrer gesamten Umgebung ermitteln k\u00f6nnen. Damit l\u00e4sst sich auch feststellen, ob ein Endpoint nicht<\/em> betroffen ist.<\/p>\n

Rufen Sie das Threat Analysis Center in Sophos Central auf, w\u00e4hlen Sie \u201eLive Discover\u201c und erstellen Sie eine neue Abfrage.<\/p>\n

\"\"<\/a>
W\u00e4hlen Sie die Option \u201eNeue Abfrage erstellen\u201c<\/figcaption><\/figure>\n

Kopieren Sie die folgende Abfrage und f\u00fcgen Sie sie ein:<\/p>\n

\u00a0 -- Check if the dbutil_2_3.sys file is present or not SELECT<\/strong> \u00a0 \u00a0CASE<\/strong>\u00a0WHEN<\/strong>\u00a0(SELECT<\/strong>\u00a01 FROM<\/strong>\u00a0file<\/strong>\u00a0WHERE<\/strong>\u00a0path LIKE<\/strong>\u00a0'C:\\Users\\%\\AppData\\Local\\Temp\\dbutil_2_3.sys'\u00a0OR<\/strong>\u00a0path LIKE<\/strong>\u00a0'C:\\Windows\\Temp\\dbutil_2_3.sys') = 1 \u00a0 \u00a0 \u00a0 THEN<\/strong> 'SYSTEM REQUIRES ATTENTION: File for CVE-2021-21551 (dbutil_2.3.sys) located in directory '|| (SELECT<\/strong>\u00a0directory<\/strong>\u00a0FROM<\/strong>\u00a0file<\/strong>\u00a0WHERE<\/strong>\u00a0path LIKE<\/strong>\u00a0'C:\\Users\\%\\AppData\\Local\\Temp\\dbutil_2_3.sys'\u00a0OR<\/strong>\u00a0path LIKE<\/strong>\u00a0'C:\\Windows\\Temp\\dbutil_2_3.sys') \u00a0 \u00a0 \u00a0 ELSE<\/strong> 'File for CVE-2021-21551 (dbutil_2_3.sys) not found' \u00a0 END<\/strong>\u00a0Status<\/pre>\n
 <\/p>\n
\"\"<\/a><\/p>\n
F\u00fchren Sie die Abfrage in Ihrer gesamten Umgebung aus.<\/p>\n
\"\"<\/a><\/p>\n
Problembehebung auf betroffenen Ger\u00e4ten<\/h2>\n
Dell bietet\u00a0Anweisungen<\/a>\u00a0zur manuellen Entfernung des betroffenen Kernel-Treibers, der sich an den beiden folgenden Speicherorten befinden kann:<\/p>\n