Newsletter heise-Bot heise-Bot
Alert!

Rechteausweitung durch Backup-Software Acronis True Image

Durch Schwachstellen in der Backup-Software Acronis True Image ließ sich Code mit erhöhten Rechten im System ausführen. Ein Update dichtet die Lücken ab.

In Pocket speichern vorlesen Druckansicht 31 Kommentare lesen
Aufamcherbild Acronis True Image 2021 Update schließt LPE-Lücken

(Bild: Tatiana Popova/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von

Angreifer hätten ihre Rechte im System durch Sicherheitslücken in der Backup-Software Acronis True Image 2021 ausweiten können. Der Hersteller stuft die Lücken teils als hohes, teils als mittleres Risiko ein. Andere betroffene Produkte haben Updates zum Abdichten der Sicherheitslecks bereits vor Monaten erhalten. Nun legt Acronis auch für True Image 2021 mit Update 6 eine fehlerbereinigte Version vor.

Die Schwachstellen betreffen sowohl die Windows- als auch Mac-Versionen. Außer in True Image waren sie auch in Acronis Agent, Cyber Protect 15 und Cyber Protect Home Office zu finden.

Gleich sechs unterschiedliche Fehler, durch die Angreifer ihre Rechte ausweiten können, listet Acronis in der Sicherheitsmeldung auf:

  • Laden von nicht signierten Bibliotheken (unter MacOS, CVE-2022-24115, CVSS 7.4, Risiko hoch)
  • eine sogenannte Race Condition beim Starten der Anwendung (MacOS, CVE-2022-24114, CVSS 7.4, hoch)
  • eine DLL-Hijacking-Lücke im Acronis Media Builder-Dienst (Windows, CVE-2021-44206, CVSS 7.3, hoch)
  • eine weitere DLL-Hijacking-Schwachstelle (Windows, CVE-2021-44205, CVSS 7.3, hoch)
  • zu weitreichende Rechtevergabe an Child-Prozesse (Windows, CVE-2022-24113, CVSS 7.3, hoch)
  • Aufgrund unzureichender Zugriffskontrollen könnten Angreifer ihre Rechte via sogenannter Named Pipes erweitern (Windows, CVE-2021-44204, CVSS 6.5, mittel).

Alle Sicherheitslücken betrafen auch Acronis Cyber Protect Home Office und wurden darin bereits vor rund fünf Monaten mit einem Update geschlossen. Die letzten beiden Schwachstellen fanden sich auch in Acronis Agent und wurden mit Version C21.06 bereits vor etwa acht Monaten behoben; in Cyber Protect 15 vor knapp vier Monaten.

Warum Acronis die Aktualisierungen für True Image 2021 erst jetzt bereitstellt, erläutert das Unternehmen nicht. Es betont in der Sicherheitsmeldung, dass es bislang keine Anzeichen gesehen hat, dass die Lücken in der freien Wildbahn ausgenutzt würden. Jedoch empfiehlt es allen Nutzern, das Update zu installieren. Die Aktualisierungen lassen sich auf der Update-Seite von Acronis herunterladen.

(dmk)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot