Categories: SicherheitSoftware

McAfee stopft Loch in SaaS Total Protection noch diese Woche

McAfee hat angekündigt, die von Anwendern gemeldete Schwachstelle in seinem Dienst SaaS Total Protection noch diese Woche zu schließen. Sie wird genutzt, um Spam über die Rechner von McAfee-Kunden zu verteilen. Diese finden sich daher schnell auf schwarzen Listen mit Spamquellen wieder. Der Blog Mr. HinkyDink meldet, dass fast 1900 IP-Adressen von dem Problem betroffen seien.

Für das Problem sei ganz allein der Dienst SaaS Total Protection verantwortlich, schreibt David Marcus, Direktor für Sicherheitsrecherchen bei den McAfee Labs. Dies entspricht exakt dem Ergebnis, zu dem seine Kunden gelangt waren. Außerdem gibt er an, es lägen keine Beweise vor, dass dadurch Kundendaten verloren gegangen oder kompromittiert worden seien – was allerdings auch niemand behauptet hatte. „Der Patch wird am 18. oder 19. Januar nach Abschluss der Tests freigegeben. Weil es sich um ein von uns verwaltetes Produkt handelt, bekommen alle Kunden den Patch automatisch.“

Marcus zufolge handelt es sich eigentlich um zwei Probleme. Zum einen könnte ein Angreifer ein ActiveX-Steuerlement missbrauchen, um Code auf dem fremden System auszuführen. Dies sei verwandt mit einem Problem, das man im August 2011 behoben habe. Zu Beschwerden habe aber das zweite Problem geführt. Es handle sich um einen Missbrauch einer Weiterleitungstechnik. „Spammer können Mails an betroffenen Maschinen abprallen lassen, sodass von ihnen verstärkter Mailverkehr ausgeht. Dies ermöglicht zwar eine Weiterleitung von Spam, gibt aber keinen Zugriff auf Daten, die sich auf dem System befinden. Der Patch wird diese Weiterleitungsfunktion schließen.“

Einigen Nutzern von McAfees SaaS-Lösung war aufgefallen, dass manche Provider ihre E-Mails blockierten, da sie sich aufgrund von Spamversand auf einer schwarzen Liste wiederfanden. Eine Datei namens myAgtSvc.exe – der McAfee-Dienst RumorService, auch Total Protection genannt – dient laut ihrer Darstellung dazu, auch Rechner ohne Internetverbindung mit Sicherheitsupdates zu versorgen. Dazu öffnet sie einen Open Proxy auf Port 6515, den dann Spammer für dem Mailversand missbrauchen können. Das Problem: Die Werbemail kommt in diesem Fall von der IP des Anwenderrechners beziehungsweise des NAT-Routers.

Kaamar stellt eine Anleitung zur Verfügung, wie Firmen prüfen können, ob sie betroffen sind. Ein Workaround steht ebenfalls bereit.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago