Kundenberichte: McAfee-Software macht Rechner zu Spam-Proxies

McAfee untersucht ein von Kunden gemeldetes Problem: Angeblich lassen sich Rechner, auf denen SaaS Endpoint Protection läuft, als Proxies für Spam-Versand nutzen. „Uns ist das Problem bekannt. Wir lassen es sowohl von Analysespezialisten als auch von Entwicklungsteams untersuchen und uns Lösungswege vorschlagen.“

Von McAfee Relay Server eingerichteter Proxy (Screenshot: Mr.HinkyDink’s UT Blog)

Die mögliche Sicherheitslücke war durch Kundenbeschwerden im Web bekannt geworden. Sie schrieben, manche Provider blockierten ihre E-Mails, da sie sich aufgrund von Spamversand auf einer schwarzen Liste wiederfänden. Laut dem Blog von Kaamar stellt eine Datei namens myAgtSvc.exe die Schwachstelle dar. Dies sei der McAfee-Dienst RumorService, früher auch Total Protection Service genannt. Er dient dazu, auch Rechner ohne Internetverbindung mit Sicherheitsupdates zu versorgen. Dazu öffnet er einen Open Proxy auf Port 6515, den dann eben auch Spammer für dem Mailversand missbrauchen können. Das Problem: Die Werbemail komme in diesem Fall von der IP des Anwenderrechners beziehungsweise des NAT-Routers.

Kaamar hatte schon am 4. Januar bemerkt, dass etwas nicht stimmte, als eine Mail aufgrund „verdächtiger Mengen nicht angeforderter Nachrichten von Ihrer IP-Adresse“ zurückkam. Unter den betroffenen Systemen war ein Windows-2008-Server. Die Logdateien brachten dann Gewissheit, dass ab 31. Dezember 2011 so viele Mails wie sonst in zehn Monaten verschickt worden waren.

Der Blog Mr. HinkyDink meldet, dass fast 1900 IP-Adressen von dem Problem betroffen seien und als Spam-Proxies dienten.

Kaamar stellt eine Anleitung zur Verfügung, wie Firmen prüfen können, ob sie betroffen sind. Ein Workaround steht ebenfalls bereit. Über den von McAfee selbst vorbereiteten Patch hat ein Kunde bei Microsofts Technet Informationen eingestellt. Er werde dafür sorgen, dass RumorService auf die meisten über Port 6515 eingehenden Anfragen nicht reagiert. Im Laufe der nächsten sieben Tage soll er für alle Nutzer verfügbar gemacht werden. Er werde als Version 5.2.3 Patch 4 erkennbar sein.