Quellcode-Klau Symantec warnt vor PC-Anywhere-Nutzung

In Symantecs Software PC-Anywhere sind gefährliche Sicherheitslücken entdeckt worden, vor denen Symantec ausdrücklich warnt. Die Software soll, wenn überhaupt, nur mit eilig zusammengestellten Patches genutzt werden, denn irgendjemand sucht offenbar bereits nach anfälligen Installationen.

Das Softwarepaket PC-Anywhere soll ab sofort nicht mehr benutzt werden, das empfiehlt der Entwickler der Software Symantec. Durch sechs Jahre alte Sicherheitslücken sind Anwender so stark gefährdet, dass sich Symantec zu dieser drastischen Warnung vor dem aktuellen Softwareprodukt entschlossen hat. PC-Anywhere ermöglicht den Zugriff auf Systeme aus der Ferne (Remote Access). Die Möglichkeiten bei einem erfolgreichen Angriff sind dementsprechend vielfältig.

PC-Anywhere ist zudem Bestandteil von weiteren Softwarepaketen von Symantec. Angreifbar ist ausdrücklich auch die PC-Anywhere-Komponente der Altiris-Management-Produkte. Sonst sind die Altiris-Produkte aber nicht anfällig.

Außerdem ist der PC-Anywhere Thin Host als Remote-Access-Komponente Bestandteil von verschiedenen Backup- und Sicherheitspaketen von Symantec. Hier versucht Symantec zu beruhigen. Norton Goback oder Utilities sollen beispielsweise nur angreifbar sein, wenn Einstellungen entgegen Symantecs Empfehlungen vorgenommen wurden. Auch Antivirusprodukte fallen darunter oder arbeiten mit einer neueren Codebasis, die nicht anfällig ist.

Angriffe ermöglichen Erschleichen höherer Systemrechte

Die Sicherheitslücken sind nicht nur wegen der möglichen Codeausführung aus der Ferne gefährlich. Laut Symantec kann ein Angreifer auch an höhere Systemrechte gelangen. Es nutzt dann nichts, wenn beispielsweise der Nutzer nur mit wenigen Systemrechten arbeitet, da der Angreifer mehr Möglichkeiten hat als der Nutzer selbst. Angriffe werden im Kontext der Anwendung durchgeführt. Normalerweise hat PC-Anywhere Systemrechte.

Die Lücken im System erlauben zudem Man-In-The-Middle-Angriffe, mit denen dann beispielsweise die Passwörter und Nutzernamen von Anwendern gestohlen werden können. Wenn der richtige Anwender angegriffen wird, können damit große Teile eines Unternehmens kompromittiert werden.

Laut Internet Storm Center gibt es im Internet bereits die ersten Scans nach Software, die PC-Anywhere-Bestandteile nutzt. Zumindest ist ein erhöhter Scanverkehr auf Port 5631 auszumachen. Symantec empfiehlt, diesen Port sowie den Nachbarport 5632 in der Firmenfirewall zu blockieren, unabhängig vom Einspielen der Patches.

Vorläufiger Patch nur für neuere Versionen

Symantec gibt an, dass verschiedene Versionen von PC-Anywhere angreifbar sind. Darunter die Versionen 12.0, 12.1, 12.5 sowie ältere. Für die Version 12.5 und interessanterweise auch die Version 12.6 gibt es bereits einen Patch in Form eines Hotfixes. Vorsicht ist geboten, wenn bei der Version 12.5 noch kein Service Pack installiert wurde. Wird nach dem Aufspielen des Hotfixes das Service Pack installiert, muss der Hotfix erneut installiert werden. Andernfalls ist die Software dann wieder anfällig. Ebenfalls betroffen ist PC-Anywhere Solution 7.0 und 7.1 als Teil der Altiris-Management-Softwarepakete. Die Version 7.1 nutzt intern die PC-Anywhere-Versionsnummer 12.6.x.

Trotz Patch empfiehlt Symantec aber, vorerst auf die Nutzung der Software zu verzichten. Erst wenn ein "finales Set" von Updates veröffentlicht wurde, sollte die Software wieder zum Einsatz kommen. Ältere Versionen als 12.5 werden grundsätzlich nicht mehr unterstützt. Hier ist der Anwender gezwungen, auf eine der patchbaren Versionen zu aktualisieren oder die Software abzuschalten.

Weitere Informationen gibt es in einem mehrere Seiten langen PDF-Whitepaper, das einige schlimme Szenarien und dazugehörige Lösungen für Firmen aufzeigt, sowie in einem Security Advisory.

Die jetzt veröffentlichten Informationen folgen unmittelbar auf den Diebstahl von Symantec-Quellcode. Wie Symantec später angab, ist es der Quellcode von Produkten des Jahres 2006. Der Diebstahl des Quellcodes fand genau in diesem Jahr statt.