Abo
  • Services:

Security: Gravierende Lücke in AVG Remote Administration

Nutzer, die das Fernwartungspaket AVG Remote Administration nutzen, sollten dringend einen aktuellen Patch installieren. Bisher war es möglich, dass Angreifer über das Programm Code einschleusen konnten - aber das ist nicht die einzige Lücke, weitere stehen noch offen.

Artikel veröffentlicht am ,
Login mit falschen Daten
Login mit falschen Daten (Bild: SEC/Screenshot: Golem.de)

Das Security-Unternehmen SEC Consult weist auf vier Lücken im Programm AVG Remote Administration hin. Entdeckt hat sie der Sicherheitsforscher Stefan Viehböck. Die Fehler stecken in der Client-Anwendung des Fernwartungspakets, dieses Programm führt auch die Authentifizierung über Passwörter durch. Diese werden vom Server verschlüsselt gesendet, aber nur auf dem Client geprüft.

Stellenmarkt
  1. Rohde & Schwarz Cybersecurity GmbH, Bochum, Köln
  2. 50Hertz Transmission GmbH, Berlin

Daher ist es möglich, das Clientprogramm so zu manipulieren, dass jedes Passwort akzeptiert wird. Ein Angreifer kann sich mit einem so präparierten Client so verbinden, als wäre er dessen Administrator, Einstellungen ändern, Daten abgreifen und so agieren, als säße er vor dem Rechner.

Eine weitere Lücke ermöglichte es bisher auch, über den Server des Remote-Systems Programme in den fremden Rechner einzuschleusen. Nach monatelangem Kontakt, so schreibt Viehböck in seinem Security-Advisory, habe sich AVG entschlossen, diese Lücke zu patchen - die anderen, so meint das Unternehmen, seien weniger kritisch. Dazu gehört auch eine mangelhafte Verschlüsselung des Protokolls, das die Fernwartungssoftware benutzt.

Viehböck hat zu den Lücken zwei Youtube-Videos erstellt, die seinen Proof-of-Concept im Einsatz zeigen. Er empfiehlt, die betroffenen AVG-Anwendungen nicht mehr zu nutzen und auch die Fernwartung auf den Clients zu deaktivieren. Wenn das nicht möglich ist, sollte zumindest der Patch gegen die Remote-Ausführung von Programmen installiert werden. Eine unmittelbare Stellungnahme von AVG zu den weiterhin nicht geschlossenen Lücken liegt noch nicht vor.

Nachtrag vom 8. Mai 2014, 18:05 Uhr

AVG hat sich inzwischen zu den Problemen wie folgt geäußert: "Die von SEC entdeckten Lücken wurden an die AVG-Entwicklung gemeldet. An einer Lösung arbeiten die Entwickler, eine Aktualisierung benötigt jedoch noch Zeit und muss umfangreiche Stabilitätstests bestehen. Neue Versionen erhalten die User im Rahmen ihrer regulären Updates." Ob nun also doch alle vier Lücken geschlossen werden sollen, geht daraus nicht hervor.



Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. 9,99€
  3. (u. a. Spider-Man 1-3 für 8,49€, X-Men 1-6 für 23,83€ und Batman 1-4 für 14,97€)

__fastcall 09. Mai 2014

Ist mir Bewusst, keiner haftet dafür. Sollte aber in solchen Fällen so sein. Die Kunden...


Folgen Sie uns
       


Blackberry Key 2 - Hands on

Das Key2 ist das Nachfolgemodell des Keyone. Das Grundprinzip ist gleich. Im unteren Gehäuseteil gibt es eine fest verbaute Hardware-Tastatur. Darüber befindet sich ein Display im 3:2-Format. Das Schreiben auf der Tastatur ist angenehm. Im Juli 2018 kommt das Key2 zum Preis von 650 Euro auf den Markt.

Blackberry Key 2 - Hands on Video aufrufen
Windows 10: Der April-2018-Update-Scherz
Windows 10
Der April-2018-Update-Scherz

Microsofts April-2018-Update für Windows 10 hat so viele Fehler, als würden drei Insider-Ringe nicht ausreichen. Das Unternehmen setzt seine Nutzer als Betatester ein und reagiert dann auch noch langsam auf Fehlermeldungen - das muss sich ändern.
Ein IMHO von Oliver Nickel

  1. Gesperrter Lockscreen Cortana-Fehler ermöglicht Codeausführung
  2. Microsoft Weitere Umstrukturierungen rund um Windows 10
  3. April 2018 Update Windows-Patch macht Probleme bei Intel- und Toshiba-SSDs

Nasa: Wieder kein Leben auf dem Mars
Nasa
Wieder kein Leben auf dem Mars

Analysen von Kohlenwasserstoffen durch den Marsrover Curiosity zeigten keine Hinweise auf Leben. Dennoch versucht die Nasa mit allen Mitteln, den gegenteiligen Eindruck zu vermitteln.
Von Frank Wunderlich-Pfeiffer


    Jurassic World Evolution im Test: Das Leben findet einen Weg
    Jurassic World Evolution im Test
    Das Leben findet einen Weg

    Ian Malcolm hatte recht: Das Leben wird ausgegraben und gebrütet, es frisst und stirbt oder es bricht aus und macht Jagd auf die Besucher. Nur leider haben die Entwickler von Jurassic World Evolution ein paar kleine Design-Fehler begangen, so wie Henry Wu bei der Dino-DNA.
    Ein Test von Marc Sauter

    1. Vampyr im Test Zwischen Dracula und Doktor
    2. Fe im Test Fuchs im Farbenrausch
    3. Thaumistry: In Charm's Way im Test Text-Adventure der ganz alten Schule

      •  /