Network Associates schließt Sicherheitslücken für Nutzer von Cisco IOS und Microsoft RPC

Kunden, die das komplette Spektrum von McAfee System- und Netzwerk-Schutz-Lösungen nutzen, können sich darauf verlassen, dass - die McAfee-Entercept-Lösungen dank der ersten und einzigen patentierten Buffer-Overflow-Technologie Attacken abwehren können, die auf die Sicherheitslücke in Microsoft RPC gerichtet sind und McAfee IntruShield die Schwachstelle in Cisco IOS beseitigt, ohne dass sie größere Upgrades ihrer Cisco Router- und Switch-Systeme vornehmen müssen - Filter von Sniffer Technologies verwendet werden können, die die Manager vor unautorisiertem Datenverkehr warnen, der auf den Missbrauch der Sicherheitslücken von Cisco IOS gerichtet ist - InfiniStream Security Forensics zur lückenlosen Rückverfolgung und Rekonstruierung von unautorisiertem Datenverkehr genutzt werden kann, der an spezielle Router adressiert war Microsoft RPC Interface Buffer Overflow Microsoft gab kürzlich einen Warnhinweis in Bezug auf die Buffer-Overflow-Sicherheitslücke im Windows RPC Service heraus. Der RPC Service unterstützt RPCs (Remote Procedure Calls) zwischen Objekten, die auf zwei Remote-Rechnern unter dem Betriebssystem Windows ausgeführt werden. Die neuen Features von McAfee Entercept führen an dieser Stelle zu einem bislang unerreichten Systemschutz mit höherer Flexibilität. Umfang Ein Hacker kann diese Sicherheitslücke durch gezielte Erstellung eines falsch gebildeten RPC-Pakets ausnutzen, das er an einen anfälligen Server schickt. Der Angreifer benötigt Zugang zu der RPC-Schnittstelle des entsprechenden Servers, die sich auf Port 135 befindet. Weiterhin kann ein Angreifer diese Sicherheitslücke nutzen, um ein beliebiges Programm auf dem attackierten Rechner ausführen zu lassen. Da der RPC Service mit System-Rechten ausgeführt wird, hat ein Hacker den sicherheitsanfälligen Server vollständig in seiner Hand. Betroffene Versionen Windows NT 4.0 Windows 2000 Lösung McAfee Entercept bietet patentierten Schutz gegen die Ausführung von Code, der durch Buffer Overflows ausgelöst wird und verhindert die Ausnutzung der RPC-Interface-Buffer-Overflow-Sicherheitslücke. CISCO-IOS-Sicherheitslücke Cisco Systems hat kürzlich eine Warnung in Bezug auf die Router und Switches des Unternehmens herausgegeben, die unter der Internetwork Operating System (IOS) Software von Cisco laufen und für die Verarbeitung von IPv4-Paketen (Internet Protocol Version 4) konfiguriert sind. In der betreffenden Warnmitteilung hat Cisco auf die Anfälligkeit gegenüber Remote-DoS-Attacken (Denial of Service) hingewiesen. Umfang Durch Versenden spezieller Ipv4-Pakete an die Schnittstelle auf einem anfälligen Gerät kann ein Angreifer die Verarbeitung von Paketen stoppen, die für diese Schnittstelle bestimmt sind. Es werden weder Alarmmeldungen ausgegeben, noch führt der Router einen korrekten Reload durch. Dieses Problem kann auf allen Cisco-Geräten unter IOS Software auftreten. Diese Sicherheitslücke kann wiederholt ausgenutzt werden, was zum Verlust der Verfügbarkeit führt, bis ein Workaround installiert oder das Gerät auf eine andere Version des IOS aufgerüstet wird, in der der Fehler behoben ist. Betroffene Versionen Cisco IOS 11.x sowie Cisco IOS 12.0, 12.1, 12.2 Geräte, auf denen nur Internet Protocol Version 6 (IPv6) läuft, sind von diesem Sicherheitsproblem nicht betroffen. Lösung McAfee-IntruShield-Benutzer mit 1.5.8.4 Signatur-Set und 1.5.19 Sensor Image werden vor Attacken gewarnt, die auf diese Sicherheitslücke zielen. Der IntruShield Manager gibt die Warnung 'Cisco: IOS Protocol DoS' aus, wenn ein solcher Versuch festgestellt wird. Für IntruShield-Sensoren, die im In-Line-Modus implementiert sind, lassen sich Gegenmaßnahmen wie beispielsweise das Löschen solcher Pakete konfigurieren. Das Sniffer-Technik-Team hat zwei Filter entwickelt, mit denen Kunden, die Sniffer Distributed oder Sniffer Portable nutzen, Versuche zur Ausnutzung der Cisco IOS Sicherheitslücke erkennen können. Darüber hinaus können die Kunden die Produkte Sniffer Distributed und InfiniStream Security Forensics zur Überwachung des Netzwerks vom Edge- bis zum Core-Bereich nutzen, um Ereignisse zu erkennen, die auf diese Sicherheitslücken abzielen. Network Associates empfiehlt, dass Benutzer, die von diesen Sicherheitslücken betroffen sind, die Patches von Microsoft bzw. Cisco installieren und sich an die entsprechenden Sicherheitsempfehlungen halten. Benutzer, die vom Microsoft RPC Buffer Overflow Problem betroffen sind, aktualisieren ihr System mit dem Microsoft Patch 823980 unter http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp zur Verfügung steht. Benutzer, die von der Cisco IOS Sicherheits-Lücke betroffen sind, aktualisieren ihr System mit Patches, die auf der Cisco Web-Site unter http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml angeboten werden, und führen einen Neustart Ihres Server durch. Im Rahmen von PrimeSupport® hat Network Associates sofort ein Kundeninformations-Programm gestartet, um den Anwendern beim Schutz ihrer Systeme und Netzwerke gegen die Sicherheitslücken von Microsoft RPC und Cisco IOS zu helfen. Informationen zu den Technologien von Network Associates für kompletten System- und Netzwerk-Schutz finden sich auf der Web-Site von Network Associates unter http://www.networkassociates.com McAfee Entercept ist Teil der Produktfamilie McAfee Systems Protection Solutions und bietet branchenführende Technologie zur Bereitstellung von Intrusion-Prevention-Systemen für Server, Datenbanken und Web-Server. McAfee-Entercept-Technologie analysiert das Anwenderverhalten und blockiert verdächtige Aktivitäten. Ihre hohe Effektivität bewies diese Technologie, als sie für den sofortigen Stop von Slammer, Code Red und Nimda sorgte. McAfee IntruShield, Teil der Produktfamilie McAfee Network Protection Solutions, ist eine spezielle, hoch entwickelte Technologie, die 'On-the-Wire'-Attacken abwehrt, bevor sie kritische Systeme treffen. Das Bediener-freundliche und weitest gehend automatisierte Produkt ist so flexibel gestaltet, dass es in einem Mehrphasen-Konzept eingeführt werden kann, wobei Fehlalarme vermieden werden, wie sie von heutigen Legacy-Intrusion-Detection-Systemen verursacht werden. Auf diese Weise können die Benutzer gezielt die Blockade-Regeln einführen, die für ihre spezielle IT-Infrastruktur am besten geeignet sind, beispielsweise die In-Line-Implementierung. Diese meldet und blockiert bekannte Attacken, während bei unbekannten Attacken lediglich eine Benachrichtigung generiert wird. Oder es wird eine Totalblockade implementiert, die jedoch nur für unternehmenskritische Netzwerk-Segmente gilt. IntruShield wird im Rahmen einer High-Speed-Appliance zur Verfügung gestellt, die in Höchstgeschwindigkeit den Verkehr überwacht und das Gefahrenpotenzial selbst auf Gigabit-Netzwerken bewertet. Das Produkt kann im Edge- oder im Front-Bereich von wichtigen Netzwerk-Core-Ressourcen eingesetzt werden. IntruShield wurde sowohl für den Sicherheits- als auch für den Netzwerk-Administrator entwickelt und stoppt ein breites Spektrum von Netzwerk-Attacken, selbst bei Netzwerk-Latenz-Zeiten unter 10 Millisekunden. IntruShield überprüft das System auch auf anormales Verhalten und bietet spezielle Analysen zur Erkennung von neuen DoS-Massenattacken. Über Network Associates Network Associates®, Inc. bietet Best-of-breed-Sicherheitslösungen, die Netzwerke von Störungen freihalten und Computersysteme vor der nächsten Generation getarnter Attacken und Bedrohungen schützen. Das Angebot von Network Associates erstreckt sich über zwei Produktfamilien: McAfee-System-Protection-Lösungen zum Schutz von Desktops und Servern und McAfee-Network-Protection-Lösungen zum Schutz von Unternehmensnetzwerken. Diese Produkte schützen Großunternehmen, Behörden, kleine und mittelständische Unternehmen und Heimanwender. Beide Produkt-Portfolios beinhalten McAfee-, Sniffer®- und Magic Solutions®-Lösungen. Weitere Informationen erhalten Sie unter: www.networkassociates.com/international/germany Für weitere Informationen wenden Sie sich bitte an: Network Associates Isabell Unseld Ohmstr. 1 85716 Unterschleißheim Tel: 089 / 3707 1535 Fax: 089 / 3707 1199 E-Mail: isabell_unseld@nai.com Harvard PR: Arno Glompner Jürgen Rast Westendstrasse 193-195 80686 München Tel.: 089/53 29 57 - 0 Fax: 089/53 29 57 - 888 E-Mail:jrast@harvard.de arno.glompner@harvard.de