Kritische Sicherheitslücken bei AVG Remote Administration
Das Fernwartungstool AVG Remote Administration weist gravierende Sicherheitslücken auf. Eine davon hat AVG jetzt geschlossen, aber die Anmeldung am Server ist weiterhin angreifbar.
- Fabian A. Scherschel
(Bild: SEC Consult)
Mit AVG Remote Administration können Instanzen von AVG Antivirus-Software über einen zentralen Server verwaltet werden. Die Software weist laut Experten kritische Sicherheitslücken auf, die dazu missbraucht werden können, den Server zu übernehmen und Schadcode auf den Client-Systemen zu installieren. Betroffen ist die Version 13.0.0.2892 von AVG Remote Administration.
Die Sicherheitsfirma SEC Consult hat insgesamt vier Sicherheitslücken in der Software entdeckt. Die gravierendste erlaubt einem Angreifer, der Zugang zum Administrator-Interface der Software hat, beliebige DLLs mit Schadcode über ein Netzlaufwerk zu laden und so System-Rechte auf dem Server zu erlangen. Die Sicherheitsforscher stellten ebenfalls fest, dass die Authentifizierung bei der Anmeldung am Server auf dem Client des sich anmeldenden Nutzers stattfindet. Das wiederum bedeutet, dass ein Angreifer die Client-Software so manipulieren kann, dass er einfach angemeldet wird, ohne ein Passwort zu kennen.
Des weiteren verifiziert das bei der Kommunikation zwischen Server und Client eingesetzte Protokoll die Identität der Kommunikationspartner nicht. Ein Angreifer kann sich also als Server ausgeben und die Software auf den Clients administrieren, als wäre er im Besitz des legitimen Servers. Das eingesetzte Verschlüsselungsprotokoll verwendet zudem statische Schlüssel, die aus dem Client ausgelesen werden können. Daraufhin kann ein Angreifer sämtliche Kommunikation zwischen den AVG-Programmen entschlüsseln.
Über vier Monate nachdem AVG vertraulich über die Lücken informiert wurde hat die Firma am 29. April ein Update (Version 2013.0.2895) herausgegeben, welches allerdings nur die Lücke schließt, die auf dem Server das Ausführen von Schadcode erlaubt. Die drei anderen Lücken, inklusive der katastrophalen Client-seitigen Anmeldung am Server, sind nach wie vor offen. Laut SEC Consult hat der Technikchef von AVG gegenüber der Sicherheitsfirma bestätigt, dass die anderen Lücken nicht geschlossen werden. (fab)
