Tech website CNET maakte vanochtend melding van een issue met betrekking tot de McAfee SaaS Endpoint Protection software. Verschillende gebruikers van de McAfee SaaS oplossing zijn geconfronteerd met het feit dat hun e-mails werden geblokkeerd door hun providers en hun IP-adressen op een blacklist stonden wegens het versturen van spam.
Waarschijnlijke oorzaak voor dit probleem is een vulnerability in de RumorServer Service myAgtSvc.exe, McAfee Peer Distribution Service. Deze service dient om systemen updates te kunnen laten ontvangen, ook al hebben deze systemen geen directe verbinding met het internet. De vulnerability maakt het mogelijk om de software te hacken en het systeem te laten functioneren als een Open Proxy op poort 6515. Hierdoor kunnen spammers de computer gebruiken om grote hoeveelheden spam te versturen.
Er is vanuit McAfee nog geen oplossing beschikbaar voor dit probleem, hier wordt op dit moment aan gewerkt. Er zijn voor McAfee SaaS klanten wel twee tijdelijke workarounds mogelijk (niet door McAfee zelf uitgegeven) om dit probleem te verhelpen:
Workaround 1: alleen geschikt voor systemen die de Rumor Service niet nodig hebben.
- Maak in uw firewall een rule aan die inkomende connecties van buiten de organisatie op TCP port 6515 blokkeert.
- Wanneer u een desktop firewall gebruikt, kunt u op deze website kijken voor de instructies.
- Gebruikt u een gateway firewall, raadpleeg dan uw firewall beheerder.
- Schakel de Rumor Service uit (Disable) voor systemen die hun updates rechtstreeks van het internet kunnen ophalen. De instructies hiervoor zijn ook te vinden op deze website.
De Rumor Service staat nu uit en kan dus niet misbruikt worden. Mocht de service als gevolg van een McAfee update weer herstarten, voorkomt de firewall rule dat de Service alsnog misbruikt wordt.
Workaround 2: indien u systemen heeft die de rumor service wél nodig hebben.
- Maak in de gateway firewall een rule aan die bepaalt dat uitgaande mail alleen verzonden mag worden vanaf de mailserver en alle andere servers die uitgaand email moeten kunnen versturen.
- Schakel eventueel de Rumor Service alleen op deze (mail-)servers uit. Deze hebben toch een rechtstreekse internetconnectie om hun updates op te halen.
Op systemen zonder directe internetconnectie draait de Rumor Service nog wél, zodat deze hun updates nog steeds binnen krijgen. De aangemaakte firewall rule voorkomt echter dat spammers mail rechtstreeks van een geïnfecteerd systeem kunnen verzenden. Gebruikers kunnen nog wel gewoon mailen, omdat hun mail via de mailserver verzonden wordt.
Voor verdere vragen aarzel niet ons te contacteren.
T +32 (0)3 877 82 94
T +31 208 11 60 98