McAfee hat angekündigt, die von Anwendern gemeldete Schwachstelle in seinem Dienst SaaS Total Protection noch diese Woche zu schließen. Sie wird genutzt, um Spam über die Rechner von McAfee-Kunden zu verteilen. Diese finden sich daher schnell auf schwarzen Listen mit Spamquellen wieder. Der Blog Mr. HinkyDink meldet, dass fast 1900 IP-Adressen von dem Problem betroffen seien.
Für das Problem sei ganz allein der Dienst SaaS Total Protection verantwortlich, schreibt David Marcus, Direktor für Sicherheitsrecherchen bei den McAfee Labs. Dies entspricht exakt dem Ergebnis, zu dem seine Kunden gelangt waren. Außerdem gibt er an, es lägen keine Beweise vor, dass dadurch Kundendaten verloren gegangen oder kompromittiert worden seien – was allerdings auch niemand behauptet hatte. „Der Patch wird am 18. oder 19. Januar nach Abschluss der Tests freigegeben. Weil es sich um ein von uns verwaltetes Produkt handelt, bekommen alle Kunden den Patch automatisch.“
Marcus zufolge handelt es sich eigentlich um zwei Probleme. Zum einen könnte ein Angreifer ein ActiveX-Steuerlement missbrauchen, um Code auf dem fremden System auszuführen. Dies sei verwandt mit einem Problem, das man im August 2011 behoben habe. Zu Beschwerden habe aber das zweite Problem geführt. Es handle sich um einen Missbrauch einer Weiterleitungstechnik. „Spammer können Mails an betroffenen Maschinen abprallen lassen, sodass von ihnen verstärkter Mailverkehr ausgeht. Dies ermöglicht zwar eine Weiterleitung von Spam, gibt aber keinen Zugriff auf Daten, die sich auf dem System befinden. Der Patch wird diese Weiterleitungsfunktion schließen.“
Einigen Nutzern von McAfees SaaS-Lösung war aufgefallen, dass manche Provider ihre E-Mails blockierten, da sie sich aufgrund von Spamversand auf einer schwarzen Liste wiederfanden. Eine Datei namens myAgtSvc.exe – der McAfee-Dienst RumorService, auch Total Protection genannt – dient laut ihrer Darstellung dazu, auch Rechner ohne Internetverbindung mit Sicherheitsupdates zu versorgen. Dazu öffnet sie einen Open Proxy auf Port 6515, den dann Spammer für dem Mailversand missbrauchen können. Das Problem: Die Werbemail kommt in diesem Fall von der IP des Anwenderrechners beziehungsweise des NAT-Routers.
Kaamar stellt eine Anleitung zur Verfügung, wie Firmen prüfen können, ob sie betroffen sind. Ein Workaround steht ebenfalls bereit.
Neueste Kommentare
Noch keine Kommentare zu McAfee stopft Loch in SaaS Total Protection noch diese Woche
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.