McAfee untersucht ein von Kunden gemeldetes Problem: Angeblich lassen sich Rechner, auf denen SaaS Endpoint Protection läuft, als Proxies für Spam-Versand nutzen. „Uns ist das Problem bekannt. Wir lassen es sowohl von Analysespezialisten als auch von Entwicklungsteams untersuchen und uns Lösungswege vorschlagen.“
Die mögliche Sicherheitslücke war durch Kundenbeschwerden im Web bekannt geworden. Sie schrieben, manche Provider blockierten ihre E-Mails, da sie sich aufgrund von Spamversand auf einer schwarzen Liste wiederfänden. Laut dem Blog von Kaamar stellt eine Datei namens myAgtSvc.exe die Schwachstelle dar. Dies sei der McAfee-Dienst RumorService, früher auch Total Protection Service genannt. Er dient dazu, auch Rechner ohne Internetverbindung mit Sicherheitsupdates zu versorgen. Dazu öffnet er einen Open Proxy auf Port 6515, den dann eben auch Spammer für dem Mailversand missbrauchen können. Das Problem: Die Werbemail komme in diesem Fall von der IP des Anwenderrechners beziehungsweise des NAT-Routers.
Kaamar hatte schon am 4. Januar bemerkt, dass etwas nicht stimmte, als eine Mail aufgrund „verdächtiger Mengen nicht angeforderter Nachrichten von Ihrer IP-Adresse“ zurückkam. Unter den betroffenen Systemen war ein Windows-2008-Server. Die Logdateien brachten dann Gewissheit, dass ab 31. Dezember 2011 so viele Mails wie sonst in zehn Monaten verschickt worden waren.
Der Blog Mr. HinkyDink meldet, dass fast 1900 IP-Adressen von dem Problem betroffen seien und als Spam-Proxies dienten.
Kaamar stellt eine Anleitung zur Verfügung, wie Firmen prüfen können, ob sie betroffen sind. Ein Workaround steht ebenfalls bereit. Über den von McAfee selbst vorbereiteten Patch hat ein Kunde bei Microsofts Technet Informationen eingestellt. Er werde dafür sorgen, dass RumorService auf die meisten über Port 6515 eingehenden Anfragen nicht reagiert. Im Laufe der nächsten sieben Tage soll er für alle Nutzer verfügbar gemacht werden. Er werde als Version 5.2.3 Patch 4 erkennbar sein.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…