Buffer Overflow in McAfees ePolicy Orchestrator und ProtectionPilot
Ein Angreifer kann darüber eigenen Code in ein System schleusen und starten und es so unter seine Kontrolle bringen. Dazu muss er allerdings Zugriff auf das LAN haben.
- Daniel Bachfeld
McAfee hat Sicherheits-Updates für seine Produkte ePolicy Orchestrator (EPO) und ProtectionPilot zum Download bereitgestellt, die eine kritische Lücke in den Serverkomponenten schließen sollen. EPO dient der Verwaltung und Fernwartung von McAfees Unternehmenslösungen, ProtectionPilot bietet ähnliche Sicherheitsfunktionen für kleine und mittelständische Betriebe.
Die Lücke beruht auf einem Buffer Overflow im Webserver (NAISERV.exe) der jeweiligen Software, der sich mit manipulierten HTTP-GET-Requests provozieren lässt. Ein Angreifer kann so eigenen Code in ein System schleusen und starten und es so unter seine Kontrolle bringen. Dazu muss er allerdings Zugriff auf das LAN haben.
Ein Proof-of-Concept-Exploit ist bereits öffentlich verfügbar. Betroffen sind ePolicy Orchestrator 3.5.0 Patch 5 und frühere Versionen sowie ProtectionPilot 1.1.1 Patch 2 und vorhergehende. Das Update wurde laut McAfee bereits an die Live Update Server verteilt.
Zuletzt musste McAfee eine kritische Lücke in EPO Mitte Juli schließen, über die sich ebenfalls Schadcode einschmuggeln ließ. Allerdings waren dort auch die EPO-Agents betroffen. Diesmal sind nach Angaben des Herstellers nur die Server betroffen.
Siehe dazu auch: (dab)
- ePolicy Orchestrator (ePO) 3.5 Patch 6 or higher / ProtectionPilot (PrP)1.1.1 Patch 3 or higher fixes vulnerability allowing arbitrary command execution, Fehlerbericht von McAfee
- Release Notes for McAfee ePolicy Orchestrator, Hinweis von McAfee
- McAfee EPO Buffer Overflow, Exploit und Fehlerbeschreibung von Muts