Se han encontrado varias vulnerabilidades en uno de los controladores del kernel de Windows de Dell. Los cinco errores relacionados, que pueden provocar una escalada de privilegios, denegación de servicio o divulgación de información, se clasifican colectivamente como CVE-2021-21551.
Dell emitió un parche para estas vulnerabilidades el 4 de mayo de 2021 y recomendamos que se aplique lo antes posible.
Los errores se remontan a 2009, y la lista oficial de productos afectados de Dell abarca muchas páginas. Como resultado, el desafío para los equipos de TI es identificar si su organización se ve afectada por este problema, el alcance de ese impacto y cómo enfocar su tiempo y los esfuerzos de remediación de manera adecuada.
Consultas con Sophos EDR
Sophos Endpoint Detection and Response (EDR) facilita la identificación del archivo asociado con esta vulnerabilidad en un dispositivo y cuántos dispositivos tienen ese archivo. Esto permite concentrar los esfuerzos de remediación y abordar rápidamente el problema.
Hemos creado una consulta EDR personalizada que identifica qué endpoints requieren atención. También confirma qué puntos finales no tienen el archivo asociado con CVE-2021-21551.
Vaya a Threat Analysis Center en Sophos Central, seleccione Live Discover y cree una nueva consulta.
Corta y pega la siguiente consulta:
-- Check if the dbutil_2_3.sys file is present or not SELECT CASE WHEN (SELECT 1 FROM file WHERE path LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path LIKE 'C:\Windows\Temp\dbutil_2_3.sys') = 1 THEN 'SYSTEM REQUIRES ATTENTION: File for CVE-2021-21551 (dbutil_2.3.sys) located in directory '|| (SELECT directory FROM file WHERE path LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path LIKE 'C:\Windows\Temp\dbutil_2_3.sys') ELSE 'File for CVE-2021-21551 (dbutil_2_3.sys) not found' END Status
Ejecuta la consulta a nivel dominio.
Solucionando los dispositivos afectados
Dell ha proporcionado instrucciones para eliminar manualmente el controlador del kernel afectado, que advierte que se encontrará en una de estas dos direcciones:
C:\Usuarios\%NOMBRE DE USUARIO%\AppData\Local\Temp\dbutil_2_3.sys
C:\Windows\Temp\dbutil_2_3.sys
Si estás preocupado por eliminar los archivos del sistema a mano, Dell ha publicado una herramienta de eliminación automática de los controladores.
Más información
Para obtener más información sobre la vulnerabilidad y cómo se puede explotar, consulta el artículo de Sophos Naked Security.
Sophos EDR está disponible para endpoints y servidores y se incluye en las suscripciones de Intercept X. Puedes ejecutarlo de forma gratuita durante treinta días:
- Los clientes de Sophos que utilizan Sophos Central pueden activar una prueba gratuita directamente desde su consola de administración. Simplemente seleccione Pruebas gratuitas en la parte inferior de la barra de navegación de la izquierda.
- Cualquiera que no utilice Sophos puede iniciar una prueba gratuita a través de nuestra web.
