Trellix,知名的数据损失防护(DLP)供应商,呼吁客户修补一个高严重性的漏洞CVE20230400,此漏洞使本地攻击者能够绕过安全限制,提取他们原本无法访问的敏感数据。此漏洞影响到 2022 年 8 月发布的 Windows 版本 Trellix DLP (119x)。客户应立即升级到 Trellix for Windows 11100 以减轻风险。
tk加速器官网下载安全研究人员警告,该漏洞被 NIST 评定为高严重性,得分为 82,但进行升级并不容易,这增加了安全团队可能忽视修补的风险。
虽然 NIST 将此漏洞评为高风险,但 Trellix 认为其威胁性较低,标定为中等严重性。Trellix 的评级主要根据漏洞仅在产品安装过程中可被利用。
Vulcan Cyber 的高级技术工程师 Mike Parkin 表示,他认为该漏洞的利用可能性不大,但仍然建议使用 DLP 的组织优先安装此补丁。“我不想夸大这个问题,但它不是零风险的漏洞,”他表示。
“在这种非常罕见的情况下,若此漏洞被利用,它可以有效绕过 DLP 保护,并允许攻击者输出有价值的数据,”他补充道。
根据 Trellix 的说明,要利用此漏洞,攻击者必须具备将网络驱动器映射到本地机器的能力。此外,攻击者还需要获得权限,以访问已在映射驱动器上的数据或将数据复制到映射驱动器。
Trellix 由 McAfee Enterprise 和 FireEye 在去年合并而成,占据了 18 亿美元 DLP 产品市场近 12 的市场份额,并与约 40000 家企业和政府客户合作。
CardinalOps 的网络防御策略副总裁 Phil Neray 确认,修补并不像 IT 工作人员所希望的那样简单。Neray 于周一带著 SC Media 逐步了解 Trellix 的文档,指出管理员需要升级多个设备并添加证书。
此漏洞与 Trellix 使用的第三方 Advanced Installer 库有关,该库由 Caphyon 开发。Trellix 详细说明了这一漏洞的技术细节。
“攻击者需要将一个名为 decoderdll 的恶意文件放置于特定的临时目录 (CWindowsTempMcAfeeMcAfee DLP Endpointinstall),并更改权限,使得管理员和 SYSTEM 用户无法删除它。Windows 上的 DLP 安装过程将无法用所需的文件替换恶意文件,并将继续使用该恶意文件进行安装,这将导致恶意 DLL 的代码以系统权限执行,” [Trellix 表示](https//kcmtrellixcom/corpor
