Plataforma
windows
Componente
dlp-endpoint-epo-extension
Corregido en
11.3.0
CVE-2019-3595 es una vulnerabilidad de inyección de comandos presente en la extensión ePO de McAfee Data Loss Prevention (DLP) Endpoint. Un administrador autenticado puede aprovechar esta falla para ejecutar código arbitrario en su máquina local. La vulnerabilidad afecta a las versiones 11.0.0 a 11.3.0 de la extensión ePO y se mitiga actualizando a la versión 11.3.0.
La inyección de comandos permite a un atacante, con privilegios de administrador autenticado, ejecutar comandos arbitrarios en el sistema. Esto podría resultar en la ejecución de malware, robo de datos confidenciales, modificación de la configuración del sistema o incluso el control total del sistema afectado. El ataque requiere que el atacante exporte una política DLP especialmente diseñada y la abra en su máquina, lo que implica un cierto nivel de interacción del usuario. Aunque la severidad es baja, la posibilidad de ejecución de código arbitrario con privilegios administrativos representa un riesgo significativo, especialmente en entornos donde las cuentas de administrador tienen acceso a información sensible.
Esta vulnerabilidad fue publicada el 24 de julio de 2019. Actualmente no se dispone de información sobre la explotación activa de esta vulnerabilidad en el mundo real, aunque la posibilidad de ejecución de código arbitrario justifica una atención prioritaria. No se ha añadido a la lista KEV de CISA. La necesidad de que el usuario abra explícitamente la política exportada podría ser una barrera para la explotación a gran escala.
Organizations utilizing McAfee Data Loss Prevention (DLP) Endpoint ePO extension in versions 11.0.0 through 11.3.0 are at risk. This includes environments with a high number of administrators with access to the ePO console, as well as those with less stringent DLP policy review processes. Shared hosting environments utilizing the extension are also potentially vulnerable.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*DLP*'} | Select-Object TaskName, State, LastRunTime• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*epo*'} | Select-Object ProcessName, Id, CPU, WorkingSet• windows / supply-chain:
Check registry for suspicious entries related to DLP policies under HKLM\SOFTWARE\McAfee\DLP\Policies.
disclosure
Estado del Exploit
EPSS
0.19% (41% percentil)
Vector CVSS
La mitigación principal para CVE-2019-3595 es actualizar la extensión ePO de McAfee DLP Endpoint a la versión 11.3.0 o posterior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda revisar las políticas DLP existentes en busca de anomalías o código sospechoso. Además, se debe restringir el acceso a la funcionalidad de exportación de políticas DLP solo a usuarios de confianza. Implementar reglas de firewall o proxies que monitoreen y bloqueen la ejecución de comandos no autorizados también puede ayudar a reducir el riesgo. Verifique después de la actualización que la extensión ePO se haya actualizado correctamente y que las políticas DLP se comporten como se espera.
Actualizar la extensión DLP Endpoint ePO a la versión 11.3.0 o posterior. Esto corrige la vulnerabilidad de inyección de comandos al exportar políticas DLP en formato CSV. La actualización debe realizarse a través del repositorio de McAfee.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-3595 is a Command Injection vulnerability in McAfee Data Loss Prevention (DLP) Endpoint ePO extension versions 11.0.0–11.3.0, allowing authenticated administrators to execute arbitrary code.
You are affected if you are using McAfee DLP Endpoint ePO extension versions 11.0.0 through 11.3.0 and have not upgraded to version 11.3.0 or later.
Upgrade the McAfee DLP Endpoint ePO extension to version 11.3.0 or later. Back up your ePO configuration before upgrading.
While no active exploitation campaigns have been publicly reported, the vulnerability's nature makes it a potential target.
Refer to the McAfee Security Bulletin: https://kc.mcafee.com/corporate/details/kb/133763
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.