SAS for Windows ist Teil einer Software zur statistischen Analyse, Data-Mining sowie Business Intelligence. Sie wurde vom Hersteller mit einer kritischen Sicherheitslücke ausgeliefert, meldet SEC Consult. [...]
Entdeckt wurden die Sicherheitsschwachstellen durch einen routinemäßigen Sicherheitscrashtest, durchgeführt von den Experten des SEC Consult Vulnerability Labs. Die Sicherheitslücke ermöglicht es den Informationen zufolge staatlich finanzierten oder kriminellen Hackern eine manipulierte SAS-Datei zu erstellen, die beim Aufruf mittels SAS for Windows dem Angreifer vollständige Kontrolle über den angegriffenen Computer gewährt. Dadurch kann der Angreifer manipulierte SAS-Dateien in Phishing Mails versenden, um anschließend über einen kompromittierten Desktop-Computer weitere Angriffe im internen Unternehmensnetzwerk durchzuführen.Die Experten des SEC Consult Vulnerability Labs konnten während des Crashtests die Schwachstelle erfolgreich ausnutzen, aktuelle Schutzmechanismen unter einer Standard Windows 7 Installation (mit installierter Firewall sowie einem aktuellen Anti-Viren-Programm) umgehen und den angegriffenen Computer über das Internet fernsteuern.
Die SEC Consult Experten raten daher zur umgehenden Installation der bereits verfügbaren Hersteller-Patches (SAS 9.4 TS 1M0, SAS 9.3 TS 1M2 bzw. SAS 9.3 TS 1M1 und SAS 9.2 TS 2M3).
Die aktuelle Version SAS 9.4 TS 1M1 wird laut SAS bereits auf dem neuen Stand ausgeliefert. (pi)
Be the first to comment