(ots) - "SAS for Windows" ist Teil einer Software zur
statistischen Analyse, Data-Mining sowie Business Intelligence. Die
Software wurde vom Hersteller SAS Institute Inc. mit einer kritischen
Sicherheitslücke [1] ausgeliefert. Entdeckt wurden die
Sicherheitsschwachstellen durch einen routinemäßigen
Sicherheitscrashtest - durchgeführt von den Experten des SEC Consult
Vulnerability Labs (www.sec-consult.com).
Die Sicherheitslücke ermöglicht es staatlich finanzierten oder
kriminellen Hackern eine manipulierte SAS-Datei zu erstellen, die
beim Aufruf mittels "SAS for Windows" dem Angreifer vollständige
Kontrolle über den angegriffenen Computer gewährt. Dadurch kann der
Angreifer manipulierte SAS-Dateien in Phishing Mails versenden, um
anschließend über einen kompromittierten Desktop-Computer weitere
Angriffe im internen Unternehmensnetzwerk durchzuführen.
Die Experten des SEC Consult Vulnerability Labs konnten während
des Crashtests die Schwachstelle erfolgreich ausnutzen, aktuelle
Schutzmechanismen unter einer Standard Windows 7 Installation (mit
installierter Firewall sowie einem aktuellen Anti-Viren-Programm)
umgehen und den angegriffenen Computer über das Internet fernsteuern.
Die SEC Consult Experten raten daher zur umgehenden Installation
der bereits verfügbaren Hersteller-Patches [2]. Weiters empfiehlt SEC
Consult Nutzern von SAS-Produkten, vom Hersteller umfassendere
Sicherheitstests durch (europäische) Sicherheitsexperten
einzufordern.
[1] SEC Consult Advisory
https://www.sec-consult.com/en/Vulnerability-Lab/Advisories.htm
[2] SAS 9.4 TS 1M0 -
http://ftp.sas.com/techsup/download/hotfix/HF2/L08.html#L08004
SAS 9.3 TS 1M2 -
http://ftp.sas.com/techsup/download/hotfix/HF2/I22.html#I22069
SAS 9.2 TS 2M3 -
http://ftp.sas.com/techsup/download/hotfix/HF2/B25.html#B25260
Rückfragehinweis:
Johannes Greil, MSc
Head of SEC Consult Vulnerability Lab
Tel.: +43 1 890 30 43 -0
mailto:research(at)sec-consult.com