Kritische Sicherheitslücke im Cisco Security Agent
Über einen Buffer Overflow in einem Systemtreiber lässt sich aus der Ferne Schadcode einschleusen und mit Systemrechten ausführen. Gefährdet sind Desktops und Server.
- Daniel Bachfeld
Eine kritische Lücke im Cisco Security Agent (CSA) für Microsoft Windows lässt sich ausnutzen, um ein Windows-System aus der Ferne zum Stillstand (Bluescreen) zu bringen oder sogar Schadcode einzuschleusen und mit Systemrechten auszuführen. Eigentlich soll der CSA Desktops und Server gerade vor Attacken, Viren und Würmer schützen. Ein Buffer Overflow in einem Systemtreiber des Agents bei der Verarbeitung von TCP-Segmenten auf den SMB-Ports 139 oder 445 macht diesen Anspruch allerdings zunichte. Für einen erfolgreichen Angriff ist keinerlei Authentifizierung notwendig.
Dabei spielt es nach Angaben von Cisco ebenfalls keine Rolle, ob das System gemanagt wird oder der Agent standalone läuft. Allerdings läuft etwa auf einem prinzipiell betroffenen System wie der Cisco Secure Access Control Server (ACS) Solution Engine noch eine Firewall, sodass dieses System standardmäßig nicht angreifbar ist. Cisco hat der Lücke nach dem Common Vulnerability Scoring System (CVSS) eine 10 gegeben – der höchste Wert, den eine Lücke erreichen kann.
Betroffen sind die Versionen 4.5.1, 5.0, 5.1 und 5.2. Der Hersteller stellt fehlerbereinigte Versionen seiner Software zur Verfügung. Als Workaround schlägt er vor, die Ports 139 und 445 zu filtern. Mit sicherheitsrelevanten Fehlern im CSA hatte Cisco bereits des öfteren zu kämpfen.
Ciscos Fehlerberichte erscheinen erstmals in einem neuen Gewand. Zwar waren die alten Bericht bereits recht übersichtlich gegliedert, nun findet man aber noch schneller zu den benötigten Informationen.
Siehe dazu auch:
- Cisco Security Agent for Windows System Driver Remote Buffer Overflow Vulnerability, Fehlerbericht von Cisco
(dab)
