sophos-edr
Productos y Servicios PRODUCTOS Y SERVICIOS

Cómo identificar con Sophos EDR los endpoints afectados por la vulnerabilidad CVE-2021-21551 (driver del kernel de Dell)

Se han encontrado varias vulnerabilidades en uno de los controladores del kernel de Windows de Dell. Los cinco errores relacionados, que pueden provocar una escalada de privilegios, denegación de servicio o divulgación de información, se clasifican colectivamente como CVE-2021-21551.

Dell emitió un parche para estas vulnerabilidades el 4 de mayo de 2021 y recomendamos que se aplique lo antes posible.

Los errores se remontan a 2009, y la lista oficial de productos afectados de Dell abarca muchas páginas. Como resultado, el desafío para los equipos de TI es identificar si su organización se ve afectada por este problema, el alcance de ese impacto y cómo enfocar su tiempo y los esfuerzos de remediación de manera adecuada.

Consultas con Sophos EDR

Sophos Endpoint Detection and Response (EDR) facilita la identificación del archivo asociado con esta vulnerabilidad en un dispositivo y cuántos dispositivos tienen ese archivo. Esto permite concentrar los esfuerzos de remediación y abordar rápidamente el problema.

Hemos creado una consulta EDR personalizada que identifica qué endpoints requieren atención. También confirma qué puntos finales no tienen el archivo asociado con CVE-2021-21551.

Vaya a Threat Analysis Center en Sophos Central, seleccione Live Discover y cree una nueva consulta.

Seleccione Create new query

Corta y pega la siguiente consulta:

    -- Check if the dbutil_2_3.sys file is present or not
SELECT
   CASE WHEN (SELECT 1 FROM file WHERE path 
LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path 
LIKE 'C:\Windows\Temp\dbutil_2_3.sys') = 1
      THEN 'SYSTEM REQUIRES ATTENTION: File for CVE-2021-21551 (dbutil_2.3.sys) located in directory '||
(SELECT directory FROM file WHERE path 
LIKE 'C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys' OR path 
LIKE 'C:\Windows\Temp\dbutil_2_3.sys')
      ELSE 'File for CVE-2021-21551 (dbutil_2_3.sys) not found'
   END Status

Ejecuta la consulta a nivel dominio.

Solucionando los dispositivos afectados

Dell ha proporcionado instrucciones para eliminar manualmente el controlador del kernel afectado, que advierte que se encontrará en una de estas dos direcciones:

C:\Usuarios\%NOMBRE DE USUARIO%\AppData\Local\Temp\dbutil_2_3.sys

C:\Windows\Temp\dbutil_2_3.sys

Si estás preocupado por eliminar los archivos del sistema a mano, Dell ha publicado una herramienta de eliminación automática de los controladores.

Más información

Para obtener más información sobre la vulnerabilidad y cómo se puede explotar, consulta el artículo de Sophos Naked Security.

Sophos EDR está disponible para endpoints y servidores y se incluye en las suscripciones de Intercept X. Puedes ejecutarlo de forma gratuita durante treinta días:

  • Los clientes de Sophos que utilizan Sophos Central pueden activar una prueba gratuita directamente desde su consola de administración. Simplemente seleccione Pruebas gratuitas en la parte inferior de la barra de navegación de la izquierda.
  • Cualquiera que no utilice Sophos puede iniciar una prueba gratuita a través de nuestra web.

Dejar un comentario

Your email address will not be published.