pcAnywhere lässt auch Angreifer ans Steuer

Symantec warnt vor einer kritischen Lücke in pcAnywhere, der nach eigenen Angaben "weltweit führenden Fernsteuerungslösung". Durch die Schwachstelle kann ein Angreifer aus der Ferne Code ins System einschleusen und mit Systemrechten ausführen. Das klappt, weil ein Dienst auf TCP-Port 5631 Nutzereingaben während der Authentifizierung nicht ausreichend prüft.

Laut Symantec sollten diesen Port unter Normalbedingungen nur authentifizierte Netzwerknutzer erreichen können, sodass sich ein Angreifer zunächst Zugriff auf das Netzwerk verschaffen oder einen anderen Rechner im Netzwerk kompromittieren muss. Die Praxis zeigt jedoch, dass derartige Ports aufgrund freigiebiger Firewall-Konfigurationen immer wieder auch über das Internet erreichbar sind.

Durch eine weitere Schwachstelle kann ein Angreifer mit eingeschränkten Rechten Prozesse mit höheren Rechten ausführen. Hierzu muss er während der vom Admin durchgeführten Ferninstallation Dateien überschreiben.

Die Details zu den beiden Lücken hält Symantec derzeit noch unter Verschluss. Exploits sind angeblich noch nicht im Umlauf. Mit dem Diebstahl des pcAnywhere-Quellcodes stehen die Lücken wohl nicht im Zusammenhang. Laut dem Advisory wurden die Lücken vertraulich von zwei externen Sicherheitsexperten gemeldet.

Verwundbar ist neben pcAnywhere 12.5.x auch die IT Management Suite pcAnywhere Solution 7.0 und 7.1. Symantec hat einen Hotfix veröffentlicht, der bereits über LiveUpdate verteilt wird. Wer die automatische Update-Funktion nicht nutzt, muss manuell nachbessern. (rei)