Symantec behebt Fehler in Endpoint Protection

Symantec veröffentlicht einen Patch für einen Privilege Escalation Fehler in der Sicherheitslösung Endpoint Protection. Das Unternehmen, das den Fehler entdeckte, zieht mit der Veröffentlichung des Exploit-Codes noch am gleichen Tag nach.

Administratoren sollten daher schnell die Aktualisierung “Symantec Endpoint Protection 12.1 Release Update 4 Maintenance Patch 1b (RU4 MP1b)” von Symantec über den Dienst FileConnect herunter laden. Damit wird die Version von Endpoint Protection auf 12.1.2112.3156 aktualisiert.

Betroffen sind laut Symantec Endpoint Protection in der Client-Version 11 und 12.1 sowie Symantec Endpoint Protection 12.0 Small Business Edition, Version 12.1 sei hingegen nicht verwundbar. Derzeit seien aber keine Angriffe bekannt, die auf diesem Leck beruhen, versichert Symantec.

Nicht betroffen sind der Symantec Endpoint Protection Manager, Symantec Endpoint Protection SBE, SEP.cloud sowie Symantec Network Access Control.

Der Fehler steckt im Treiber für Anwendungs- und Gerätekontrolle. Ein Nutzer, der bereits an das System angemeldet ist, kann darüber seine Rechte ausweiten, und schließlich auf Netzwerke und das gesamte System zugreifen.

Die beiden Offensive Security-Mitarbeiter Matteo ‘ryujin’ Memelli und Alexandru ‘sickness’ Uifalvi die den Fehler entdeckt haben, betonen, dass ein Angreifer dann in der Lage ist, Passwort-Hash-Werte zu löschen oder auch aus dem Cache die Anmelde-Informationen des Administrators auszulesen. Zudem könne ein Angreifer auch ein System zum Absturz bringen.

Wie Offensive Security mitteilt wurden bei einem Penetration-Testing bei einem Kunden des Sicherheitsunternehmens in der Symantec-Lösung mehrere Fehler gefunden. Auf der Black Hat Sicherheitskonferenz in Las Vegas wollen Mitarbeiter des Unternehmens weitere Details über die Sicherheitslösung mitteilen.