Thema: McAfee ...

[SiLæncer]

Das Security-Unternehmen McAfee hat offensichtlich mit seinem aktuellen Signatur-Update Systemadministratoren in aller Welt schweißtreibende Stunden beschert. Scanner, die sich das Update "DAT 5664" am gestrigen 3. Juli herunterluden und installierten, liefen reihenweise amok. Sie identifizierten systemrelevante Treiberdateien auf Computern fälschlicherweise als Schädling "PWS!hv.aq" und steckten sie in Quarantäne. Nach ersten Berichten in Helpdesk-Foren waren unter anderem Windows-Bluescreens und stockende Unternehmensserver reihenweise die Folge.

Administratoren beobachteten, dass der Fehlalarm nur mit älteren Versionen der Scan-Engine von McAfee auftrat. Teilweise klingen die Berichte dramatisch. So beschrieb ein Firmentechniker, wie die von ihm betreute Infrastruktur, bestehend aus 150 Servern und 8000 PCs, unter dem Problem litt. Ein anderer schrieb ins McAfee-Helpdesk-Forum: "Wir haben mit vier Spezialisten 16 Stunden ohne Pause daran gearbeitet. McAfee: THANKS-A-LOT!"

Pikant an der Panne ist, dass McAfee sich erst vor wenigen Wochen einen ähnlichen Patzer geleistet hatte. Ein Fehler im Ende Mai 2009 veröffentlichten Patch 1 für McAfee VirusScan Enterprise v8.7i hatte erhebliche Probleme verursacht. So entdeckte der Scanner auf den aktualisierten PCs fälschlicherweise einen Wurm in mehreren System-Dateien von Windows XP und Vista und löschte respektive verschob die Dateien. In der Folge blieben die PCs bei einem Neustart hängen oder booteten endlos.

Quelle : www.heise.de

[SiLæncer]

Ein fehlerhaftes Signatur-Update (DAT 5958)  des Antivirenherstellers McAfee hat am gestrigen Mittwoch dazu geführt, dass unter Windows XP SP3 die Systemdatei SVCHOST.EXE als Schädling W32/Wecorl.a erkannt wurde. Der PC versucht anschließend, den PC neu zu starten (30 Sekunden Countdown). Anschließend gelangt der PC in eine Boot-Endlosschleife und versucht immer wieder einen Neustart.

Den McAfee-Anwender-Foren zufolge sind zahlreiche Unternehmen betroffen. Als Lösung empfiehlt der Hersteller, die aktualisierte Signatur (DAT 5959)  mit einem anderen Rechner herunterzuladen, auf einen USB-Stick zu kopieren, den betroffenen Rechner mit Safe Mode (F8-Taste beim Booten drücken) mit Netzwerk zu starten und den USB-Stick anzuschließen. Anschließend genügt ein Doppelkiickauf die Datei 5959xdat.exe, um die neue Signatur zu installieren. In den meisten Fällen muss man anschließend aber noch die Datei SVCHOSTS.EXE restaurieren. McAfee gibt dazu eineAnleitung .

Alternativ soll die Datei extra.dat verhindern können, dass die fehlerhafte Signatur den Rechner lahmlegt. Diese kopiert man ebenfalls auf einen USB-Stick, kopiert sie auf den PC (im Safe Mode) in den Ordner c:\Programme\Gemeinsame Dateien\McAfee\Engine und startet den Rechner neu. Auch hier muss man die SVCHOST.EXE manuell restaurieren – oder aus der Quarantäne zurückholen.

Die Tipps bedeuten insbesondere für Unternehmensadmins einige Arbeit, weil sich das Problem nicht über das zentrale Management lösen lässt. In größeren Netzen dürfte dies vermutlich Nachschichten bedeuten. McAfee arbeitet nach eigenen Angaben an einer automatischen Lösung.

McAfee hat zwar eine Funktion, um Fehlalarme bei wichtigen Windows-Dateien abzufangen, das gilt jedoch nur für Dateien auf der Festplatte. In diesem Fall hat laut McAfee aber der Memory Scan den Fehlalarm provoziert, der sich nicht abfangen ließ.

Interessanter Randaspekt: Bei einer Katastrophenübung einer Gemeinde in Iowa fielen aufgrund des McAfee-Fehlers die Computer und die Kommunikation der Notrufzentrale aus. Daraufhin mussten die Teams auf ihr altes Funksystem zurückgreifen, was der Übung ein wenig mehr Realität verlieh.

Quelle : www.heise.de

[SiLæncer]

Die Tipps bedeuten insbesondere für Unternehmensadmins einige Arbeit, weil sich das Problem nicht über das zentrale Management lösen lässt. In größeren Netzen dürfte dies vermutlich Nachschichten bedeuten. McAfee arbeitet nach eigenen Angaben an einer automatischen Lösung.

McAfee hat mittlerweile eine Datei bereit gestellt, die den PC automatisch (vor Ort) repariert.

Quelle : www.heise.de

[SiLæncer]

Sicherheitssoftware-Hersteller McAfee ist offenbar bemüht, die schlechte Presse wegen seines letzten fehlgeschlagenen Updates in Grenzen zu halten. Das Unternehmen kündigte an, Betroffene für entstandene Reparaturkosten entschädigen zu wollen.

Das fragliche Update für McAfee-Sicherheitssoftware sorgte in der vergangenen Woche für erhebliche Probleme. Rechner, die Windows XP SP3 verwendeten, wurden nach der Installation durch ständige Reboots komplett unbrauchbar (gulli:News berichtete). Verärgerte Benutzer und Administratoren sorgten daraufhin für eine riesige Welle negativer Bemerkungen über McAfee im Netz.

Zeit für Schadensbegrenzung, scheint man sich bei McAfee gedacht zu haben und ist offenbar um Kundenzufriedenheit bemüht. Im vernünftigen Rahmen will man den Opfern der misslungenen Update-Aktion sämtliche Reparatur-Kosten erstatten. In den nächsten Tagen wird das Unternehmen eine Anleitung herausgeben, wie Betroffene die Entschädigung beantragen können. Zudem veröffentlichte McAfee Tipps zur Reparatur betroffener Systeme - und bot allen Opfern eine kostenlose Verlängerung ihres McAfee-Abos um zwei Jahre an. Wer der Software dieses Unternehmens also noch vertraut, soll auch auf diesem Wege für die Unannehmlichkeiten entschädigt werden.

Die Kosten für McAfee sind nicht bekannt, dürften aber angesichts der großen Anzahl betroffener Rechner - darunter auch zahlreicher Firmen-Systeme - ein erhebliches Ausmaß haben. Dem Unternehmen ist zu wünschen, dass es aus Fehlern lernt und in Zukunft seine Updates sorgfältiger testet.

Quelle: ZDNet.de

[SiLæncer]

Ein Fehler in der Signaturdatenbank des McAfee-Virenscanners sorgte jüngst dafür, dass Anwender bei der Installation des bekannten Sicherheitstools WinPatrol  eine Virenwarnung erhielten. Angeblich soll der Installer den Trojaner "Artemis!4FAE1D776481" enthalten haben – eine Fehleinschätzung, die WinPatrol-Entwickler Bill Pytlovany kurz darauf McAfee gemeldet  hat. Zunächst antwortete der Antivirenhersteller in Form einer automatischen Mail, dass sich in der Setup-Datei zwar kein bekannter Schädling verstecke, dass es sich aber möglicherweise um eine neue Bedrohung handele.

Der Fall wurde an das Virenlabor im indischen Bangalore weitergegeben, wo die Datei genauer untersucht wurde. Pytlovany übte sich unterdessen in Schadensbegrenzung und ersetzte die Installer-Komponente seiner Software durch ein anderes Produkt, das von den Fehlalarm nicht betroffen war. Am vergangenen Sonntag hat McAfee schließlich reagiert und das Programm auf die Whitelist seines Cloud-Services gesetzt, wodurch auch bei der inzwischen ersetzten Version der Fehlalarm ausblieb.

Zu der Fehleinschätzung kam es offenbar durch die Veröffentlichung von WinPatrol 19 am 1. Oktober dieses Jahres, was vielen Nutzern die Installation beziehungsweise den Umstieg auf die neue Version erschwert hat. Pytlovany befürchtet, dass der Vorfall den Ruf seiner Software langfristig schaden könnte. Immer wieder schlagen übereifrige Virenscanner bei der Installation harmloser Software oder beim Besuch beliebter Webseiten an. Erst kürzlich hat der von Norton entwickelte DE-Cleaner etwa die CAD-Software Target 3001 fälschlicherweise für bösartig gehalten. AntiVir wurde jüngst sogar auf Twitter.com fündig.

Quelle : www.heise.de

[SiLæncer]

Die Web-Site des Anbieters von Sicherheitslösungen McAfee wies bis zum vergangenen Wochenende mehrere Schwachstellen auf. Der Entdecker der Lücken, der (burmesische) Sicherheitsdienstleister YEHG, hat einen Bericht dazu veröffentlicht.

Zu den Problemen gehörten eine Cross-Site-Scripting auf download.mcafee.com sowie ein Fehler, durch den sich der Sourcecode diverser ASP.NET-Seiten abrufen ließ. Ob darin vertrauliche Informationen enthalten waren, ist nicht bekannt. Mitunter finden sich aber in solchen Dateien für Angreifer wertvolle Hinweise für die weitere Vorgehensweise bei der Kompromittierung eines Servers.

Ein JavaScript auf download.mcafee.com verrät indes weiterhin Hostnamen in der Infrastruktur von McAfee, wobei Serveradressen immer noch den alten Namen Network Associates (NAI) enthalten. NAI hatte sich 2004 in McAfee (zurück-)umbenannt. Laut YEGH wurde McAfee bereits im Februar auf die Probleme hingewiesen, hatte aber nicht reagiert. Kurz nach Veröffentlichung des Bericht am Wochenende begann McAfee dann, die Probleme zu lösen. Gegenüber US-Medien gab McAfee an, dass zu keiner Zeit Daten von Kunden oder Ähnliches hätte ausgelesen werden können.

McAfee hatte bereits in der Vergangenheit mit Lücken in den eigenen Seiten zu kämpfen. Besonders peinlich war 2009 eine Schwachstelle in McAfees Sicherheitsportal Secure, das eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) aufwies. McAfee Secure ist ein Dienst, mit dem Kunden ihre eigene Site oder Shop auf Sicherheitslücken und auf die für Kreditkartentransaktionen wichtige Konformität zum PCI-DSS-Standard überprüfen können.

Quelle : www.heise.de

[SiLæncer]

Die Eingliederung des Security-Unternehmens McAfee in den Chipkonzern Intel hat neue Produkte hervorgebracht, die Malware schon auf Chip-Ebene abfangen und so gar nicht erst in Kontakt mit dem Betriebssystem kommen lassen soll: Den Deep Defender und den ePolicy Orchestrator (ePO) Deep Command.

Die Basis dessen bildet die DeepSAFE-Technologie, die McAfee-Entwickler gemeinsam mit Intel-Ingenieuren erarbeiteten. Der Deep Defender soll nahezu sämtliche Schadprogramme bereits auf Kernel-Ebene erkennen. Dadurch sollen Computersysteme mit hardwaregestützten Sicherheitsfunktionen wirkungsvoller gegen wie Rootkits und Advanced Persistent Threats (APTs) - wie zum Beispiel Stuxnet - geschützt werden können.

Der Deep Defender ist zwischen Prozessor und Betriebssystem geschaltet. Hier überwacht er Treiber und andere Softwareelemente im Arbeitsspeicher während sie aktiv sind. Umgehungsmechanismen von getarnter Malware sollen so auf niederer Ebene enttarnt und Administratoren Einblick in Speicherprozesse gegeben werden. Auf diese Weise soll es auch möglich sein, bislang unbekannte Rootkits aufzuspüren.

Malware, die sich unter Zuhilfenahme bekannter oder neuartiger Tarnverfahren in den Speicher einzunisten versucht, soll vom Deep Defender gemeldet, blockiert, unter Quarantäne gestellt und entfernt werden können. Besteht der Verdacht auf eine neuartige Bedrohung, schickt McAfee Deep Defender einen Fingerprint des Codes an das Global-Threat-Intelligence-Netzwerk.

Der Deep Defender wird dabei über dieselbe Konsole wie die bisherigen Endpoint-Security-Produkte von McAfee verwaltet. Neue Dashboards und Berichtsformate sollen Anwendern noch mehr Informationen über versteckte Bedrohungen bieten.

Die Active Management Technology (AMT) von Intel ermöglicht dabei auch den Remote-Zugriff auf ausgeschaltete Rechner. So können Administratoren aus der Ferne den Rechner starten, das System reparieren, Patches einspielen und Sicherheitseinstellungen vornehmen. Über Intel AMT werden an den ePolicy Orchestrator auch schnelle Meldungen übermittelt, wenn das Betriebssystem nicht mehr startet oder beschädigt ist.

Zudem lassen sich mit dem ePO Deep Command diverse Security-Aufgaben bewältigen wie die Aktualisierung von DAT-Dateien, die Modifikation von Richtlinien und die Durchführung spontaner Scans. Auch kurzfristig können Administratoren die notwendigen Schritte einleiten, um ein kompromittiertes Gerät wieder in Stand zu setzen und dem Anwender ein Weiterarbeiten zu ermöglichen.

Quelle : http://winfuture.de

[Jürgen]

So können Administratoren aus der Ferne den Rechner starten...

Kommt mir gar nicht in die Tüte.
Auch deshalb gibt es hier eine ganz ordinäre Schalterleiste.
Aus ist aus.

Übrigens auch aus versicherungsrechtlichen Gründen.
Einem Bekannten ist vor ein paar Jahren die Bude abgebrannt, und das ging von seiner Computeranlage aus.
Wäre das in seiner Abwesenheit passiert, hätte die Hausratversicherung wahrscheinlich nicht gezahlt, wegen grober Fahrlässigkeit.
So wird bei mir ganz sicher auch niemand das Recht erhalten, irgendein elektrisches Gerät aus der Ferne einzuschalten.

Jürgen

[SiLæncer]

Die Zero Day Inititiative (ZDI) hat Informationen über ein Sicherheitsproblem in den Security-as-a-Service-Produkten von McAfee veröffentlicht. Der Schwachstellen-Broker hatte McAfee nach eigenen Angaben bereits im April 2011 über die Lücke informiert. Nachdem der Hersteller immer noch keinen Patch bereitgestellt habe, hat sich die ZDI nun zur Veröffentlichung entschieden.

Es handelt sich dabei um einen Fehler in der Programmbibliothek myCIOScn.dll. Dort filtert die Methode MyCioScan.Scan.ShowReport() Benutzereingaben nicht ausreichend, sondern führt eingebettete Befehle im Kontext des Browsers aus. Der Fehler lässt sich ausnutzen, wenn ein Anwender eine speziell präparierte Datei oder Webseite öffnet. ZDI stuft das Problem als sehr schwerwiegend ein und gibt ihm einen CVSS-Score von 9 – der maximal Schweregrad beträgt 10.

Welche Produkte konkret betroffen sind, lässt sich dem ZDI-Advisory nicht entnehmen. Zu McAfees SaaS-Produktpalette gehören unter anderem "SaaS Email Encryption" zur E-Mail-Verschlüsselung oder "Vulnerability Assessment SaaS" zum Prüfen von Software auf Schwachstellen.

Als Abhilfe empfiehlt die ZDI das Killbit in der Registry zu setzen, um zu verhindern, dass der Internet Explorer das betroffene AcitiveX-Control instantiiert. Dazu muss der DWORD-Eintrag "Compatibility Flags" in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\209EBDEE-065C-11D4-A6B8-00C04F0D38B7 auf "0x00000400" gesetzt werden.

Bemerkenswert ist, dass sich ausgerechnet ein Hersteller und Dienstleister im Bereich Sicherheit eine solche Blöße gibt. Auf diesbezügliche Nachfragen von heise Security hat McAfee bislang nicht geantwortet.

Quelle : www.heise.de

[SiLæncer]

Die Software "SaaS Endpoint Protection" des Anti-Viren-Spezialisten McAfee weist offenbar eine ernsthafte Sicherheitslücke auf, die es Angreifern ermöglicht, Rechner, auf denen die Software installiert ist, zu Spam-Proxies umzuwandeln. Das Unternehmen hofft, den Fehler zügig beheben zu können.

Der Fehler liegt offenbar in der "Rumor Server"-Datei "myAgtSvc.exe", die zum "McAfee Peer Distribution Service" gehört. Dieser Dienst hat die Funktion, Updates per Peer-to-Peer-Technologie an Rechner ohne direkte Internet-Verbindung zu verteilen. Dieser Dienst fungiert allerdings als offener Proxy auf Port 6515, was Internet-Kriminellen ermöglicht, ihren Spam über die betreffenden Rechner umzuleiten. Theoretisch wäre es wahrscheinlich auch möglich, diese Rechner zur Verschleierung anderer krimineller Aktivitäten zu nutzen, was die Besitzer in Schwierigkeiten bringen könnte. Daten auf den betroffenen Rechnern sind durch die Sicherheitslücke aber nicht gefährdet.

Das Problem war Anfang Januar erstmals aufgefallen, als sich Beschwerden von McAfee-Nutzern häuften, ihre E-Mails würden blockiert und ihre IP-Adressen seien von E-Mail-Providern auf Antispam-Blacklists gesetzt worden. Es ist aktuellen Untersuchungen zufolge allein die Software "SaaS Endpoint Protection" betroffen; andere McAfee-Produkte scheinen das Problem nicht aufzuweisen. Dies teilte David Marcus, IT-Sicherheitsforscher bei McAfee, mit.

Das Blog "Kaamar" hat eine detaillierte Beschreibung des Problems und Instruktionen, um herauszufinden, ob der eigene Rechner betroffen ist, und diesen gegebenenfalls mit einem Workaround bis zur Behebung des Problems durch McAfee abzusichern. Das Unternehmen kündigte derweil an, man arbeite bereits an einem Patch, der verteilt werden solle, sobald einige Tests abgeschlossen seien. McAfee hofft, den Patch noch am heutigen Donnerstag - in jedem Fall aber noch diese Woche - ausliefern zu können. 

Quelle : www.gulli.com

[SiLæncer]

Zwei fehlerhafte Signaturupdates für McAfees Virenschutzprogramme sorgen dafür, dass die Nutzer schlimmstenfalls nicht mehr auf das Internet zugreifen können. Die Updates legen unter Umständen den Virenwächter lahm oder sorgen dafür, dass die Übersichtskonsole des Schutzprogramms nicht mehr funktioniert. Laut McAfee wurden die defekten Signaturupdates DAT 6807 und 6808 seit dem vergangenen Wochenende verteilt.

Der ganze Artikel

Quelle : www.heise.de