{"id":3081,"date":"2021-05-06T11:34:40","date_gmt":"2021-05-06T11:34:40","guid":{"rendered":"https:\/\/partnernews.sophos.com\/fr-fr\/?p=3081"},"modified":"2021-09-21T14:38:38","modified_gmt":"2021-09-21T14:38:38","slug":"using-sophos-edr-to-identify-endpoints-impacted-by-dell-kernel-driver-vulnerability-cve-2021-21551","status":"publish","type":"post","link":"https:\/\/partnernews.sophos.com\/fr-fr\/2021\/05\/resources\/using-sophos-edr-to-identify-endpoints-impacted-by-dell-kernel-driver-vulnerability-cve-2021-21551\/","title":{"rendered":"Comment utiliser Sophos EDR pour identifier la vuln\u00e9rabilit\u00e9 CVE-2021-21551 (pilote du noyau Dell)\u00a0?"},"content":{"rendered":"

Plusieurs exploits ont \u00e9t\u00e9 d\u00e9couverts dans l\u2019un des pilotes du noyau Windows de Dell. Les cinq bugs associ\u00e9s, qui peuvent entra\u00eener une \u00e9l\u00e9vation de privil\u00e8ges, un d\u00e9ni de service ou la divulgation d\u2019informations, sont collectivement class\u00e9s sous la d\u00e9signation CVE-2021-21551.<\/p>\n

Dell a publi\u00e9 un correctif pour ces vuln\u00e9rabilit\u00e9s<\/a> le 4\u00a0mai 2021 et nous vous recommandons de l\u2019installer le plus t\u00f4t possible.<\/p>\n

Les bugs remontent \u00e0 2009 et la liste officielle de Dell des produits concern\u00e9s s\u2019\u00e9tend sur plusieurs pages. Par cons\u00e9quent, le d\u00e9fi pour les \u00e9quipes IT consiste \u00e0 d\u00e9terminer si votre entreprise est concern\u00e9e par ce probl\u00e8me, estimer l\u2019\u00e9tendue des d\u00e9g\u00e2ts potentiels et optimiser, de mani\u00e8re appropri\u00e9e, le temps et les efforts consacr\u00e9s \u00e0 la rem\u00e9diation.<\/p>\n

Requ\u00eate avec Sophos EDR<\/h2>\n

Sophos EDR<\/a> (Endpoint Detection and Response) permet d\u2019identifier facilement si vous poss\u00e9dez le fichier associ\u00e9 \u00e0 cette vuln\u00e9rabilit\u00e9 sur un appareil, et combien d\u2019appareils poss\u00e8dent v\u00e9ritablement ce fichier. Cette mani\u00e8re de proc\u00e9der vous permet de concentrer vos efforts de rem\u00e9diation efficacement et de r\u00e9soudre ainsi rapidement le probl\u00e8me.<\/p>\n

Nous avons cr\u00e9\u00e9 une requ\u00eate EDR personnalis\u00e9e qui identifie les syst\u00e8mes endpoint au niveau de votre domaine qui n\u00e9cessitent votre attention. Elle confirme \u00e9galement ceux qui ne poss\u00e8dent pas<\/em> le fichier associ\u00e9 \u00e0 CVE-2021-21551.<\/p>\n

Rendez-vous dans le Centre d\u2019analyse des menaces dans Sophos Central, s\u00e9lectionnez Live Discover et cr\u00e9ez une nouvelle requ\u00eate.<\/p>\n

\"\"<\/a>
S\u00e9lectionnez \u00ab\u00a0Cr\u00e9er une nouvelle demande\u00a0\u00bb<\/figcaption><\/figure>\n

Ensuite, copiez et collez la requ\u00eate ci-dessous\u00a0:<\/p>\n

\u00a0 -- Check if the dbutil_2_3.sys file is present or not SELECT<\/strong> \u00a0 \u00a0CASE<\/strong>\u00a0WHEN<\/strong>\u00a0(SELECT<\/strong>\u00a01 FROM<\/strong>\u00a0file<\/strong>\u00a0WHERE<\/strong>\u00a0path LIKE<\/strong>\u00a0'C:\\Users\\%\\AppData\\Local\\Temp\\dbutil_2_3.sys'\u00a0OR<\/strong>\u00a0path LIKE<\/strong>\u00a0'C:\\Windows\\Temp\\dbutil_2_3.sys') = 1 \u00a0 \u00a0 \u00a0 THEN<\/strong> 'SYSTEM REQUIRES ATTENTION: File for CVE-2021-21551 (dbutil_2.3.sys) located in directory '|| (SELECT<\/strong>\u00a0directory<\/strong>\u00a0FROM<\/strong>\u00a0file<\/strong>\u00a0WHERE<\/strong>\u00a0path LIKE<\/strong>\u00a0'C:\\Users\\%\\AppData\\Local\\Temp\\dbutil_2_3.sys'\u00a0OR<\/strong>\u00a0path LIKE<\/strong>\u00a0'C:\\Windows\\Temp\\dbutil_2_3.sys') \u00a0 \u00a0 \u00a0 ELSE<\/strong> 'File for CVE-2021-21551 (dbutil_2_3.sys) not found' \u00a0 END<\/strong>\u00a0Status<\/pre>\n
 <\/p>\n
\"\"<\/a><\/p>\n
Puis, ex\u00e9cutez la requ\u00eate au niveau de votre domaine.<\/p>\n
\"\"<\/a><\/p>\n
Rem\u00e9diation des appareils concern\u00e9s<\/h2>\n
Dell a fourni des instructions<\/a> pour supprimer manuellement le pilote de noyau affect\u00e9, qui, selon lui, se trouvera dans l\u2019un des deux emplacements suivants :<\/p>\n