Ihre
gewählte
Nachricht : |
|
| Datum : | 08.05.2014 |
Titel : |
SECurity Message Service: Sicherheitslücke - "AVG Remote Administration" |
| Meldung : | Hochkritische Schwachstellen ermöglichen Codeausführung auf Client und Server Frankfurt/Main (ots) - "AVG Remote Administration" ermöglicht es einem Administrator, über das Netzwerk die AVG Produkte (wie z.B. Anti-Virus oder Firewall) auf Client-Computern zu installieren, zu aktualisieren bzw. zu konfigurieren. Die Software wurde vom Hersteller von Sicherheitssoftware AVG (NYSE:AVG) mit mehreren kritischen Sicherheitslücken [1] ausgeliefert. Entdeckt wurden die Sicherheitsschwachstellen durch einen routinemäßigen Sicherheitscrashtest - durchgeführt von den Experten des SEC Consult Vulnerability Labs (https://www.sec-consult.com). Die Sicherheitslücken ermöglichen es staatlich finanzierten oder kriminellen Hackern, Schwachstellen in der Authentifizierung auszunutzen. Damit können sich Angreifer als legitimer Administrator ausgeben und sämtliche Clients fernsteuern. Zudem ist es möglich, über eine Remote-Code-Execution-Schwachstelle die höchsten Rechte bzw. Vollzugriff auf das Betriebssystem des AVG Remote Administration Servers zu erlangen. Schwachstellen im Bereich der Verschlüsselung und Authentifizierung des Kommunikationsprotokolls runden das Bild einer unsicher ausgelieferten Software ab. Die Experten des SEC Consult Vulnerability Labs konnten während des Crashtests die Schwachstellen erfolgreich ausnutzen und Proof-of-Concept-Exploits entwickeln. SEC Consult hat umgehend Kontakt mit AVG aufgenommen. Da der Kundendienst nicht ausreichend reagierte, wurde der CTO von AVG kontaktiert. Dieser bestätigte die Existenz der Schwachstellen, teilte aber mit, dass nur eine der vier Schwachstellen (Remote Code Execution) behoben werde und stufte die anderen Schwachstellen als geringes bzw. mittleres Risiko ein. SEC Consult teilt diese Meinung nicht und sieht die Behebung aller identifizierten Schwachstellen als unbedingt erforderlich an. Die SEC Consult Experten raten zur umgehenden Installation des verfügbaren Hersteller-Patches [2], weisen aber darauf hin, dass drei weitere Schwachstellen nicht vom Hersteller behoben werden! SEC Consult hat daher unter [1] auch Workarounds dokumentiert, die vor Schwachstellen im AVG-Produkt schützen. Diese Workarounds bestehen darin, den Remote Administration Server abzuschalten und dieses Feature auf Clients vollständig zu deaktivieren. Laut Auskunft von AVG ist das Produkt bereits "seit einiger Zeit End-of-life", obwohl die AVG-Produktseite hierzu keinerlei Information aufweist [3] und die AVG FAQ das Gegenteil behauptet [4]. SEC Consult empfiehlt Nutzern von AVG-Produkten, vom Hersteller umfassende Sicherheitstests durch (europäische) Sicherheitsexperten sowie die Behebung der vorhandenen, gemeldeten Schwachstellen einzufordern. [1] SEC Consult Advisory https://www.sec-consult.com/en/Vulnerability-Lab/Advisories.htm SEC Consult proof of concept videos https://www.youtube.com/watch?v=exiLSy1oo3I & https://www.youtube.com/watch?v=XYvtwc10dLc [2] Patch AVG Remote Administration, Version 2013.2895 - http://www.avg.com/eu-en/download.prd-rad [3] AVG Remote Administration Produktseite http://www.avg.com/eu-en/product-avg-admin [4] AVG FAQ Eintrag http://www.avg.com/us-en/faq.num-5125 Rückfragehinweis: Johannes Greil, MSc Head of SEC Consult Vulnerability Lab Tel.: +43 1 890 30 43 -0 mailto:research@sec-consult.com OTS: SEC Consult Unternehmensberatung GmbH newsroom: http://www.presseportal.de/pm/110379 newsroom via RSS: http://www.presseportal.de/rss/pm_110379.rss2 |
| Sender : | Homepage |