Sophos EDR – rozwiązanie na luki w Dell

bezpieczeństwo 13/05/2021

Sophos EDR zidentyfikuje luki znalezione w Dell, które dotyczą sprzętu, aż 12 lat wstecz. Sprawdź czy Twoje urządzenia są bezpieczne ! W sterowniku jądra systemu Windows firmy Dell, pracownicy firmy SentinelLabs znaleźli luki. Na szczęście nie odnaleźli śladów, które mogłyby świadczyć o wykorzystywaniu tej luki przez hakerów. Aby sytuacja nie uległa zmianie zalecana jest możliwie szybka identyfikacja urządzeń, które posiadają luki i zabezpieczenie ich łatką. Błędy sięgają 2009 roku, a oficjalna lista produktów, których dotyczy jest obszerna i umieszczona na stronie firmy Dell.

Pięć powiązanych błędów, które mogą prowadzić do eskalacji uprawnień, odmowy dostępu lub ujawnienia informacji, zostały sklasyfikowane jako CVE-2021-21551.
Podział luk wygląda następująco:
CVE-2021-21551: Lokalne podniesienie uprawnień nr 1 – uszkodzenie pamięci
CVE-2021-21551: Lokalne podniesienie uprawnień nr 2 – uszkodzenie pamięci
CVE-2021-21551: Lokalne podniesienie uprawnień nr 3 – Brak weryfikacji danych wejściowych
CVE-2021-21551: Lokalne podniesienie uprawnień nr 4 – Brak weryfikacji danych wejściowych
CVE-2021-21551: odmowa usługi – problem z logiką kodu

Jak w szybki sposób sprawdzić urządzenia czy posiadają w/w luki?

Sophos EDR (Sophos Endpoint Detection and Response jest narzędziem, które zidentyfikuje czy posiadasz plik powiązany z luką na urządzeniu oraz na ilu urządzeniach w sieci jest ten plik. Dzięki temu rozwiązaniu z łatwością skoncentrujesz działania naprawcze i sprawnie rozwiążesz problem w swojej firmie.

Firma Sophos stworzyła niestandardowe zapytanie, które wskaże punkty końcowe, które wymagają Twojej uwagi. Sprawdź w 3 prostych krokach swoje urządzenia:
1. Wejdź do Threat Analysis Center, wybierz Live Discover i utwórz nowe zapytanie.
2. Wytnij i wklej poniższe zapytanie:
— Check if the dbutil_2_3.sys file is present or not SELECT
CASE WHEN (SELECT 1 FROM file WHERE path
LIKE ‘C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys’ OR path LIKE ‘C:\Windows\Temp\dbutil_2_3.sys’) = 1
THEN ‘SYSTEM REQUIRES ATTENTION: File for CVE-2021-21551 (dbutil_2.3.sys) located in directory ‘||
(SELECT directory FROM file WHERE path
LIKE ‘C:\Users\%\AppData\Local\Temp\dbutil_2_3.sys’ OR path LIKE ‘C:\Windows\Temp\dbutil_2_3.sys’)
ELSE ‘File for CVE-2021-21551 (dbutil_2_3.sys) not found’ END Status
3. Uruchom zapytanie w całości

Jeśli zidentyfikujesz urządzenia, które wymagają naprawy to możesz skorzystać z rozwiązań opublikowanych przez firmę Dell. Możesz użyć instrukcji, aby ręcznie usunąć problem lub skorzystać z automatycznego narzędzia do usuwania sterowników przez stronę pobierania.

Wnioski

Tak dotkliwe luki w zabezpieczeniach, jak obecne w firmie Dell mogą w znaczący sposób wpłynąć na bezpieczeństwo użytkowników i przedsiębiorstw. Mimo braków odnotowanych do tej pory przypadków ataków wykorzystujących tą lukę, niebezpieczeństwo jest ogromne i globalne, gdyż na świecie są setki milionów urządzeń Dell podatnych na atak i jeśli użytkownicy i przedsiębiorcy nie zaktualizują poprawki to w najbliższym czasie zaobserwujemy nieuniknione ataki lub całą ich serię.

Zobacz także:
Bezpieczeństwo IT w firmie – czytaj więcej
Audyt IT – czytaj więcej
Outsourcing IT Warszawa- czytaj więcej
Monitoring dla firm

bezpieczeństwo 05/05/2021

Większość pracodawców poszukuje zagrożeń płynących do organizacji wyłącznie z zewnątrz zapominając o tych, które mogą wypłynąć wewnątrz niej. W niedawno opublikowanym przez nas artykule „Czynnik Ludzki- Największe Zagrożenia Dla Twojej Firmy” opisaliśmy jakie zagrożenia niosą ze sobą błędy i brak świadomości o cyberbezpieczeństwie pracowników, a także w jaki sposób je eliminować.

Ale co jeśli „błędy” pracowników nie są spowodowane ich niewiedzą czy nieostrożnością tylko są celowym działaniem, które negatywnie wpływa na kondycję firmy ?

Pracodawca powinien liczyć się z tym, że wewnątrz organizacji może pojawić się tzw. Insider czyli osoba, która posiada dostęp do poufnych informacji i w świadomy lub nieświadomy sposób nadużywa go, a działanie może wynikać z jego własnych przesłanek bądź hakerskiego szantażu. W dzisiejszym artykule przyjrzymy się celowym działaniom szkodzącym pracodawcom.

Tego typu zagrożenia mogą wypływać m.in. od:

Wewnętrznego Cyber Agenta, który został przekupiony przez konkurencję bądź/i cyberprzestępcę w celu przekazywania tajnych informacji i danych na temat firmy, ale także nieświadomego pracownika, który jest szantażowany przez cyberprzestępców.

Niezadowolonego pracownika, który w wyniku konfliktu z pracodawcą i w akcie zemsty może zniszczyć dane lub przekazać je konkurencji bądź wykorzystać do negatywnego PR-u firmy.

Pracownika, który dba wyłącznie o swoje interesy i wykorzystuje dane, aby uzyskać własne korzyści w postaci np. premii bądź awansu kosztem ujawniania tajemnic firmowych bądź wykorzystywania ich przeciwko innym pracownikom.

W jaki sposób monitorować i unikać tego typu wewnętrznych zagrożeń?

Zminimalizować dostęp do danych i przystosować dostępy i uprawnienia według zajmowanych stanowisk. Tj. każdy pracownik powinien mieć dostęp do tych informacji i oprogramowania, które są mu niezbędne do wykonywania pracy i żadnych innych.

Utworzyć i wdrożyć jasną politykę bezpieczeństwa w której zostanie ujęta odpowiedzialność dyscyplinarna w przypadku nie stosowania się do niej.

Utworzyć i zawrzeć z pracownikami umowy o poufności danych, które będą zabezpieczać przed nieuczciwą konkurencją.
Stosować szyfrowanie danych, które uniemożliwi ich odtworzenie poza siecią. Zablokować dostęp do stron, które umożliwiają przesyłanie danych i wprowadzić jednolitą politykę udostępniania danych podmiotom zewnętrznym np. wyłącznie przy pomocy firmowej poczty bądź chmury.

Zablokować dostęp do prywatnych skrzynek mailowych i pozostawić możliwość korzystania wyłącznie z firmowej skrzynki pocztowej.

Zablokować dostęp do podłączania nośników informacji – umożliwić dostęp tylko firmowym, przydzielonym pracownikowi nośnikom.

Stosować oprogramowania typu DLP, które monitorują poufne dane, a w sytuacji zagrożenia zaawansowane algorytmy umożliwiają ich ochronę.

Stosować program do kontroli czasu pracy przy komputerze, który poza swoim głównym zadaniem, może wskazać nieuzgodnioną aktywność pracownika poza godzinami pracy i nakierować przełożonego do sprawdzenia jego nietypowego zachowania.

Dbać o dobre i uczciwe relacje z pracownikami i czystą atmosferę w miejscu pracy, które pozwolą uniknąć złośliwych zachowań pracowników.
Dokonywać regularnych kopii zapasowych danych- najlepiej poza lokalizacją firmy, a także sprawdzać możliwość i czas ich odtworzenia.

Dzięki nieustającej cyfryzacji zakres jakim objęte jest już szerokorozumiane cyberbezpieczeństwo wciąż się rozrasta. Wraz z nowymi rozwiązaniami i technologiami przychodzą nowe zagrożenia i wektory ataków, a pracodawcy muszą włożyć dużo wysiłku, aby je wszystkie skutecznie odepchnąć, zarówno te pojawiające się z zewnątrz jak i wewnątrz organizacji.

Mimo zastosowania wszelkich zabezpieczeń, nie zawsze uda się uchronić firmę przed działaniem nieuczciwego pracownika, który może spróbować również wynieść dane w formie papierowej czy jako zdjęcie lub nagranie w telefonie, jednak walka z cyberprzestępcami to minimalizowanie ryzyka i im bardziej utrudnimy im drogę do oszustwa tym większa szansa, że nie padniemy ich atakom.

Chcesz sprawdzić czy Twoje procesy i działania są prowadzone prawidłowo i Twoja firma czy organizacja jest bezpieczna? Zapoznaj się z naszą ofertą audytu.

Zobacz także:
Bezpieczeństwo IT w firmie – czytaj więcej
Audyt IT – czytaj więcej
Outsourcing IT Warszawa- czytaj więcej
Monitoring dla firm

Bezpłatny Audyt IT
close slider

Imię lub nazwisko (wymagane)

Firma (niewymagane)

Adres email (wymagane)

Telefon kontaktowy (wymagane)

Wiadomość