Update für kritische Lücken im Symantec Endpoint Protection Manager

Symantecs Endpoint Protection Manager weist mehrere Sicherheitslücken auf, die von Angreifern missbraucht werden könnten, um unberechtigt Zugriff auf die Software zu erhalten. Laut Symantec werden die Schwachstellen momentan nicht für Angriffe ausgenutzt, allerdings wollen die Sicherheitsforscher der österreichischen Firma SEC Consult Vulnerability Lab die Details der Lücken am 18. Februar bekanntgeben – spätestens ab diesem Zeitpunkt ist mit konkreten Angriffen zu rechnen. Updates für Endpoint Protection Manager 11.0, 12.0 und 12.1, welche die Lücken schließen, stehen zur Verfügung.

Symantec gibt Informationen zu den beiden zugrunde liegenden Lücken in seinem Advisory SYM14-004. Angreifer können sich mit speziell präparierten XML-Daten Zugriff zu der Managementkonsole des Endpoint Protection Manager verschaffen. Dies geschieht bei HTTP-Verbindungen über Port 9090 oder über Port 8443 für HTTPS. Eine weitere Lücke in der SQL-Datenbank des Programms kann dann missbraucht werden, um das Programm weiter zu kompromittieren. Weitere Details zu dem Angriff sind noch nicht bekannt.

Um die Lücken zu schließen sollten Nutzer Endpoint Protection Manager 11 auf Version 11.0 RU7 MP4a (11.0.7405.1424) updaten. Nutzer von Version 12.0 oder 12.1 sollten auf Version 12.1 RU4a (12.1.4023.4080) umsteigen. Auf seinen Supportseiten erklärt die Firma diesen Prozess. Nutzer von Symantec Network Access Control können den technischen Support von Symantec kontaktieren, um das Update zu erhalten.

Außerdem sagt die Firma, dass Administratoren die Ports 9090 und 8443 auf dem Server per Firewall sperren können. Dies verhindert die Angriffe, kann aber auch die Online-Hilfe und andere Remote-Funktionen des Programms stören. (fab)