McAfee schließt Lücke in eigener Sicherheits-Zertifizierungsseite
Durch eine CSRF-Lücke hätten Angreifer Zugriff auf die Konten von McAfee-Secure-Kunden gehabt. Mit dem Dienst können Kunden ihren Shop mit dem Tool Hacker Safe auf Sicherheitslücken überprüfen und erhalten bei Erfolg ein Sicherheitssiegel.
- Daniel Bachfeld
Der Schuster hat die schlechtesten Schuhe, heißt es im Volksmund. Berichten zufolge traf dies auch für McAfees Sicherheitsportal Secure zu, das eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) aufwies. McAfee Secure ist ein Dienst, mit dem Kunden ihre eigene Site oder Shop mit dem Tool Hacker Safe auf Sicherheitslücken und auf die für Kreditkartentransaktionen wichtige Konformität zum PCI-DSS-Standard überprüfen können. Bei erfolgreicher Prüfung darf ein Shop-Betreiber das McAfee-Secure-Logo in seine Webseite einbauen. Bei Kunden soll es das Vertrauen in die Seite wecken, dass die Daten dort gut geschützt sind und keine Gefahren bei Transaktionen wie Bezahlvorgängen lauern.
Durch die CSRF-Lücke hätten Angreifer aber Zugriff auf das Konto des Opfers (Shop-Betreibers) bei McAfee Secure gehabt. Dazu hätte es allerdings gleichzeitig bei McAfee eingeloggt sein und parallel eine präparierte Website ansurfen müssen. Daneben hat McAfee noch weitere Cross-Site-Scripting-Lücken und Code-Injection-Lücken geschlossen, mit der Phisher eigene Inhalte im Kontext der McAfee-Seite im Browser von Besuchern darstellen konnten.
Der Entdecker der CSRF-Lücke, der Sicherheitsexperte Mike Bailey, moniert in seinem Blog, dass McAfee mit den Lücken gegen die selbst gesetzten Standards verstoße und nach der Benachrichtigung vor rund fünf Wochen über die Probleme eigentlich selbst das McAfee-Secure-Logo von seinen Seiten hätte nehmen müssen. Zudem habe McAfee den PCI-Standard verletzt.
Offenbar sei bei der Entwicklung der Webanwendung kein sicherer Software Development Lifecycle (SDL) Grundlage gewesen. Zudem vermutet er, dass McAfee die eigene Site bislang noch nie einem intensiveren Penetration-Test oder einem Scan mit Hackers Safe unterzogen habe. Immerhin verspricht die Beschreibung von McAfees Dienstleistung, Cross-Site-Scripting- und SQL-Injection-Schwachstellen zu finden. Bereits Mitte des Jahres 2008 zeigte sich, dass die Scanner von McAfee vermutlich Probleme beim Aufspüren von XSS-Lücken haben. McAfee soll nun aber die Secure-Site einer genaueren Prüfung unterzogen haben.
Über den Sinn und Unsinn von Zertifizierung, Siegeln und Plaketten lässt sich ohnehin streiten, geben sie doch dem Kunden oftmals ein falsche Gefühl von Sicherheit. Zuletzt fanden sich etwa in mehreren Seiten mit offiziellem TÜV-Siegel Cross-Site-Scripting-Lücken. Anfang des Jahres fanden sich auch in den Webportalen von McAfees Wettbewerbern Sicherheitslücken. Mit SQL-Injection gelangte man etwa bei Kaspersky an Daten von Kunden, Aktivierungscodes, Fehlerberichte, Administratorennamen und Shops.
Siehe dazu auch:
(dab)
