Categories: SicherheitSoftware

McAfee stopft Loch in SaaS Total Protection noch diese Woche

McAfee hat angekündigt, die von Anwendern gemeldete Schwachstelle in seinem Dienst SaaS Total Protection noch diese Woche zu schließen. Sie wird genutzt, um Spam über die Rechner von McAfee-Kunden zu verteilen. Diese finden sich daher schnell auf schwarzen Listen mit Spamquellen wieder. Der Blog Mr. HinkyDink meldet, dass fast 1900 IP-Adressen von dem Problem betroffen seien.

Für das Problem sei ganz allein der Dienst SaaS Total Protection verantwortlich, schreibt David Marcus, Direktor für Sicherheitsrecherchen bei den McAfee Labs. Dies entspricht exakt dem Ergebnis, zu dem seine Kunden gelangt waren. Außerdem gibt er an, es lägen keine Beweise vor, dass dadurch Kundendaten verloren gegangen oder kompromittiert worden seien – was allerdings auch niemand behauptet hatte. „Der Patch wird am 18. oder 19. Januar nach Abschluss der Tests freigegeben. Weil es sich um ein von uns verwaltetes Produkt handelt, bekommen alle Kunden den Patch automatisch.“

Marcus zufolge handelt es sich eigentlich um zwei Probleme. Zum einen könnte ein Angreifer ein ActiveX-Steuerlement missbrauchen, um Code auf dem fremden System auszuführen. Dies sei verwandt mit einem Problem, das man im August 2011 behoben habe. Zu Beschwerden habe aber das zweite Problem geführt. Es handle sich um einen Missbrauch einer Weiterleitungstechnik. „Spammer können Mails an betroffenen Maschinen abprallen lassen, sodass von ihnen verstärkter Mailverkehr ausgeht. Dies ermöglicht zwar eine Weiterleitung von Spam, gibt aber keinen Zugriff auf Daten, die sich auf dem System befinden. Der Patch wird diese Weiterleitungsfunktion schließen.“

Einigen Nutzern von McAfees SaaS-Lösung war aufgefallen, dass manche Provider ihre E-Mails blockierten, da sie sich aufgrund von Spamversand auf einer schwarzen Liste wiederfanden. Eine Datei namens myAgtSvc.exe – der McAfee-Dienst RumorService, auch Total Protection genannt – dient laut ihrer Darstellung dazu, auch Rechner ohne Internetverbindung mit Sicherheitsupdates zu versorgen. Dazu öffnet sie einen Open Proxy auf Port 6515, den dann Spammer für dem Mailversand missbrauchen können. Das Problem: Die Werbemail kommt in diesem Fall von der IP des Anwenderrechners beziehungsweise des NAT-Routers.

Kaamar stellt eine Anleitung zur Verfügung, wie Firmen prüfen können, ob sie betroffen sind. Ein Workaround steht ebenfalls bereit.

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

7 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

7 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago