Sophos EDR を使用して、Dell カーネルドライバの脆弱性 (CVE-2021-21551) の影響を受けたエンドポイントを特定

資料Sophos EDR脅威とマルウェア

このクエリを使用して、Dell カーネルドライバの脆弱性 CVE-2021-21551 の影響を受けるエンドポイントと、影響を受けないエンドポイントを特定します。

Dell の Windows カーネルドライバの 1つに複数の脆弱性が発見されました。権限昇格、サービス拒否、情報漏洩につながる可能性のある 5つの関連バグは、まとめて CVE-2021-21551 に分類されます。

Dell は、2021年 5月 4日にこれらの脆弱性に対するパッチを発行しました。なるべく早く適用することをお勧めします。

バグは 2009 年まで遡り、Dell 公式リストでは影響を受ける製品が多くのページに及びます。その結果、IT チームにとっての課題は、組織がこの問題に影響を受けているかどうか、その影響範囲、時間と修復作業に適切に焦点を当てる方法を特定することです。

Sophos EDR を使用したクエリー

Sophos Endpoint Detection and Response (EDR) を使用すると、デバイスにこの脆弱性に関連するファイルがあるかどうか、そしてそのファイルがあるデバイスの数を簡単に特定します。これにより、修復作業に集中し、問題を迅速に対処できます。

ソフォスは、お客様の組織全体においてどのエンドポイントが脆弱で、注意されるべきかを特定するカスタムクエリを作成しました。また、エンドポイントに脆弱性がないかどうかも確認します。

Sophos Central の脅威解析センターにアクセスし、「Live Discover」を選択して、新しいクエリを作成します。

「新しいクエリの作成」を選択します。

以下のクエリをコピーします。

  -- Check if the dbutil_2_3.sys file is present or not SELECT    CASE WHEN (SELECT 1 FROM file WHERE path LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path LIKE 'C:\Windows\Temp\dbutil_2_3.sys') = 1       THEN 'SYSTEM REQUIRES ATTENTION: File for CVE-2021-21551 (dbutil_2.3.sys) located in directory '|| (SELECT directory FROM file WHERE path LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path LIKE 'C:\Windows\Temp\dbutil_2_3.sys')       ELSE 'File for CVE-2021-21551 (dbutil_2_3.sys) not found'   END Status

 

組織全体でクエリを実行します。

影響を受けたデバイスの修正

Dellでは、問題のあるカーネルドライバを手動で削除する手順を提供しています。この手順には、次の 2 つの場所のいずれかに記載されています。

  • C:\Users\%USERNAME%\AppData\Local\Temp\dbutil_2_3.sys
  • C:\Windows\Temp\dbutil_2_3.sys

システムファイルを手動で削除することに不安を感じている場合は、Dell のサイトで自動ドライバーリムーバーを備えたダウンロードページを公開しています。

詳細はこちら

脆弱性とその悪用方法に関する詳細は Sophos Naked Security の記事 (英語) をご覧ください。

Sophos EDR は、エンドポイントとサーバーの両方で利用可能で、Intercept X サブスクリプションに含まれています。こちらは、30日間無償でお試しいただけます。

  • Sophos Central を使用している既存のソフォスのお客様は、管理コンソール内で直接無償評価版を有効化できます。左側のナビゲーションバーの下にある「無償評価版」を選択するだけです。
  • ソフォス製品を使用していない方は、弊社の Web サイトから無償評価版を開始できます。