Comment utiliser Sophos EDR pour identifier la vulnérabilité CVE-2021-21551 (pilote du noyau Dell) ?

ResourcesMenaces & MalwaresSophos EDR

Vous pouvez utiliser cette requête pour identifier les systèmes endpoint dont le fichier est associé à CVE-2021-21551 ainsi que ceux qui ne sont pas concernés.

06 Mai 2021 Par

Plusieurs exploits ont été découverts dans l’un des pilotes du noyau Windows de Dell. Les cinq bugs associés, qui peuvent entraîner une élévation de privilèges, un déni de service ou la divulgation d’informations, sont collectivement classés sous la désignation CVE-2021-21551.

Dell a publié un correctif pour ces vulnérabilités le 4 mai 2021 et nous vous recommandons de l’installer le plus tôt possible.

Les bugs remontent à 2009 et la liste officielle de Dell des produits concernés s’étend sur plusieurs pages. Par conséquent, le défi pour les équipes IT consiste à déterminer si votre entreprise est concernée par ce problème, estimer l’étendue des dégâts potentiels et optimiser, de manière appropriée, le temps et les efforts consacrés à la remédiation.

Requête avec Sophos EDR

Sophos EDR (Endpoint Detection and Response) permet d’identifier facilement si vous possédez le fichier associé à cette vulnérabilité sur un appareil, et combien d’appareils possèdent véritablement ce fichier. Cette manière de procéder vous permet de concentrer vos efforts de remédiation efficacement et de résoudre ainsi rapidement le problème.

Nous avons créé une requête EDR personnalisée qui identifie les systèmes endpoint au niveau de votre domaine qui nécessitent votre attention. Elle confirme également ceux qui ne possèdent pas le fichier associé à CVE-2021-21551.

Rendez-vous dans le Centre d’analyse des menaces dans Sophos Central, sélectionnez Live Discover et créez une nouvelle requête.

Sélectionnez « Créer une nouvelle demande »

Ensuite, copiez et collez la requête ci-dessous :

  -- Check if the dbutil_2_3.sys file is present or not SELECT    CASE WHEN (SELECT 1 FROM file WHERE path LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path LIKE 'C:\Windows\Temp\dbutil_2_3.sys') = 1       THEN 'SYSTEM REQUIRES ATTENTION: File for CVE-2021-21551 (dbutil_2.3.sys) located in directory '|| (SELECT directory FROM file WHERE path LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path LIKE 'C:\Windows\Temp\dbutil_2_3.sys')       ELSE 'File for CVE-2021-21551 (dbutil_2_3.sys) not found'   END Status

 

Puis, exécutez la requête au niveau de votre domaine.

Remédiation des appareils concernés

Dell a fourni des instructions pour supprimer manuellement le pilote de noyau affecté, qui, selon lui, se trouvera dans l’un des deux emplacements suivants :

  • C:\Users\%USERNAME%\AppData\Local\Temp\dbutil_2_3.sys
  • C:\Windows\Temp\dbutil_2_3.sys

Si la suppression manuelle des fichiers système vous inquiète, Dell a mis à disposition une page de téléchargement avec un outil de suppression automatique des pilotes.

En savoir plus

Pour obtenir plus d’informations sur cette vulnérabilité et comment elle peut être exploitée, parcourez l’article publié sur notre blog Sophos Naked Security.

Sophos EDR est disponible pour les systèmes endpoint et les serveurs et est inclus dans les abonnements Intercept X. Vous pouvez l’utiliser gratuitement pendant 30 jours :

  • Les clients Sophos utilisant Sophos Central peuvent bénéficier d’un essai gratuit directement depuis leur console de gestion. Sélectionnez simplement « Essais gratuits » en bas de la barre de navigation de gauche.
  • Pour ceux qui n’utilisent pas Sophos, vous pouvez bénéficier d’un essai gratuit via notre site Web.

À propos de l’auteur

Sophos is a global leader and innovator of advanced security solutions for defeating cyberattacks, including Managed Detection and Response (MDR) and incident response services and a broad portfolio of endpoint, network, email, and cloud security technologies. As one of the largest pure-play cybersecurity providers, Sophos defends more than 600,000 organizations and more than 100 million users worldwide from active adversaries, ransomware, phishing, malware, and more. Sophos’ services and products connect through the Sophos Central management console and are powered by Sophos X-Ops, the company’s cross-domain threat intelligence unit. Sophos X-Ops intelligence optimizes the entire Sophos Adaptive Cybersecurity Ecosystem, which includes a centralized data lake that leverages a rich set of open APIs available to customers, partners, developers, and other cybersecurity and information technology vendors. Sophos provides cybersecurity-as-a-service to organizations needing fully managed security solutions. Customers can also manage their cybersecurity directly with Sophos’ security operations platform or use a hybrid approach by supplementing their in-house teams with Sophos’ services, including threat hunting and remediation. Sophos sells through reseller partners and managed service providers (MSPs) worldwide. Sophos is headquartered in Oxford, U.K. More information is available at www.sophos.com.