SECurity Message Service: Sicherheitslücke - "AVG Remote Administration"

Hochkritische Schwachstellen ermöglichen Codeausführung auf
Client und Server

Frankfurt/Main (ots) - "AVG Remote Administration" ermöglicht es
einem Administrator, über das Netzwerk die AVG Produkte (wie z.B.
Anti-Virus oder Firewall) auf Client-Computern zu installieren, zu
aktualisieren bzw. zu konfigurieren.

Die Software wurde vom Hersteller von Sicherheitssoftware AVG
(NYSE:AVG) mit mehreren kritischen Sicherheitslücken [1]
ausgeliefert. Entdeckt wurden die Sicherheitsschwachstellen durch
einen routinemäßigen Sicherheitscrashtest - durchgeführt von den
Experten des SEC Consult Vulnerability Labs
(https://www.sec-consult.com).

Die Sicherheitslücken ermöglichen es staatlich finanzierten oder
kriminellen Hackern, Schwachstellen in der Authentifizierung
auszunutzen. Damit können sich Angreifer als legitimer Administrator
ausgeben und sämtliche Clients fernsteuern. Zudem ist es möglich,
über eine Remote-Code-Execution-Schwachstelle die höchsten Rechte
bzw. Vollzugriff auf das Betriebssystem des AVG Remote Administration
Servers zu erlangen. Schwachstellen im Bereich der Verschlüsselung
und Authentifizierung des Kommunikationsprotokolls runden das Bild
einer unsicher ausgelieferten Software ab.

Die Experten des SEC Consult Vulnerability Labs konnten während
des Crashtests die Schwachstellen erfolgreich ausnutzen und
Proof-of-Concept-Exploits entwickeln. SEC Consult hat umgehend
Kontakt mit AVG aufgenommen. Da der Kundendienst nicht ausreichend
reagierte, wurde der CTO von AVG kontaktiert. Dieser bestätigte die
Existenz der Schwachstellen, teilte aber mit, dass nur eine der vier
Schwachstellen (Remote Code Execution) behoben werde und stufte die
anderen Schwachstellen als geringes bzw. mittleres Risiko ein. SEC
Consult teilt diese Meinung nicht und sieht die Behebung aller
identifizierten Schwachstellen als unbedingt erforderlich an.

Die SEC Consult Experten raten zur umgehenden Installation des
verfügbaren Hersteller-Patches [2], weisen aber darauf hin, dass drei
weitere Schwachstellen nicht vom Hersteller behoben werden! SEC
Consult hat daher unter [1] auch Workarounds dokumentiert, die vor
Schwachstellen im AVG-Produkt schützen. Diese Workarounds bestehen
darin, den Remote Administration Server abzuschalten und dieses
Feature auf Clients vollständig zu deaktivieren. Laut Auskunft von
AVG ist das Produkt bereits "seit einiger Zeit End-of-life", obwohl
die AVG-Produktseite hierzu keinerlei Information aufweist [3] und
die AVG FAQ das Gegenteil behauptet [4].

SEC Consult empfiehlt Nutzern von AVG-Produkten, vom Hersteller
umfassende Sicherheitstests durch (europäische) Sicherheitsexperten
sowie die Behebung der vorhandenen, gemeldeten Schwachstellen
einzufordern.

[1] SEC Consult Advisory
https://www.sec-consult.com/en/Vulnerability-Lab/Advisories.htm SEC
Consult proof of concept videos
https://www.youtube.com/watch?v=exiLSy1oo3I &
https://www.youtube.com/watch?v=XYvtwc10dLc

[2] Patch AVG Remote Administration, Version 2013.2895 -
http://www.avg.com/eu-en/download.prd-rad

[3] AVG Remote Administration Produktseite
http://www.avg.com/eu-en/product-avg-admin

[4] AVG FAQ Eintrag http://www.avg.com/us-en/faq.num-5125

Rückfragehinweis:
Johannes Greil, MSc
Head of SEC Consult Vulnerability Lab
Tel.: +43 1 890 30 43 -0
mailto:research@sec-consult.com