Cisco Security Agent lässt sich austricksen
Die Software zum Schutz von Desktops und Servern vor Angriffen kann mitunter den Dienst versagen, wenn zwei Buffer Overflows in kurzer Folge auftreten.
Ciscos Security Agent (CSA), eine Software zum Schutz von Desktops und Servern vor Angriffen, kann mitunter den Dienst versagen. Durch einen Fehler beim Abfangen von Buffer Overflows können Angreifer den CSA austricksen, indem sie zwei Pufferüberläufe innerhalb von fünf Minuten provozieren. Während der Agent den ersten noch erkennt und in einem Dialogfenster auf eine Eingabe wartet, ob er den Prozess beenden soll, rutscht der zweite durch -- sofern ein angemeldeter Benutzer nicht innerhalb der fünf Minuten auf den zuerst eingetretenen Angriff reagiert. In dieser Zeitspanne lässt sich ein weiterer Angriff auf das darunter liegende Systeme durchführen. Bei einer kurzen Folge von Buffer Overflows wäre ein Anwender wahrscheinlich ohnehin nicht in der Lage, schnell genug zu reagieren.
Da der Agent selbst nicht bedroht ist, muss ein Angreifer eine Lücke im Betriebssystem oder einer Applikation finden, über die er Code einschleusen und ausführen kann. Zudem muss während einer Attacke ein Anwender auf dem System eingeloggt sein, andernfalls beendet der CSA einen kompromittierten Prozess automatisch -- und zwar ohne zu warten. Betroffen sind nach Angaben von Cisco alle Versionen des CSA vor 4.0.3.728. Der Hersteller stellt eine korrigierte Version zur Verfügung.
Siehe dazu auch: (dab)
- Security Advisory von Cisco
