Security: Gravierende Lücke in AVG Remote Administration

Nutzer, die das Fernwartungspaket AVG Remote Administration nutzen, sollten dringend einen aktuellen Patch installieren. Bisher war es möglich, dass Angreifer über das Programm Code einschleusen konnten - aber das ist nicht die einzige Lücke, weitere stehen noch offen.

Artikel veröffentlicht am ,
Login mit falschen Daten
Login mit falschen Daten (Bild: SEC/Screenshot: Golem.de)

Das Security-Unternehmen SEC Consult weist auf vier Lücken im Programm AVG Remote Administration hin. Entdeckt hat sie der Sicherheitsforscher Stefan Viehböck. Die Fehler stecken in der Client-Anwendung des Fernwartungspakets, dieses Programm führt auch die Authentifizierung über Passwörter durch. Diese werden vom Server verschlüsselt gesendet, aber nur auf dem Client geprüft.

Stellenmarkt
  1. SAP Treasury Software Engineer (m/w/d)
    Allianz Technology SE, Stuttgart
  2. Software Engineer (m/w/d) Identity und Access Management (IAM)
    Porsche AG, Zuffenhausen
Detailsuche

Daher ist es möglich, das Clientprogramm so zu manipulieren, dass jedes Passwort akzeptiert wird. Ein Angreifer kann sich mit einem so präparierten Client so verbinden, als wäre er dessen Administrator, Einstellungen ändern, Daten abgreifen und so agieren, als säße er vor dem Rechner.

Eine weitere Lücke ermöglichte es bisher auch, über den Server des Remote-Systems Programme in den fremden Rechner einzuschleusen. Nach monatelangem Kontakt, so schreibt Viehböck in seinem Security-Advisory, habe sich AVG entschlossen, diese Lücke zu patchen - die anderen, so meint das Unternehmen, seien weniger kritisch. Dazu gehört auch eine mangelhafte Verschlüsselung des Protokolls, das die Fernwartungssoftware benutzt.

Viehböck hat zu den Lücken zwei Youtube-Videos erstellt, die seinen Proof-of-Concept im Einsatz zeigen. Er empfiehlt, die betroffenen AVG-Anwendungen nicht mehr zu nutzen und auch die Fernwartung auf den Clients zu deaktivieren. Wenn das nicht möglich ist, sollte zumindest der Patch gegen die Remote-Ausführung von Programmen installiert werden. Eine unmittelbare Stellungnahme von AVG zu den weiterhin nicht geschlossenen Lücken liegt noch nicht vor.

Nachtrag vom 8. Mai 2014, 18:05 Uhr

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    17.-19.01.2023, Virtuell
  2. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    26./27.01.2023, Virtuell
Weitere IT-Trainings

AVG hat sich inzwischen zu den Problemen wie folgt geäußert: "Die von SEC entdeckten Lücken wurden an die AVG-Entwicklung gemeldet. An einer Lösung arbeiten die Entwickler, eine Aktualisierung benötigt jedoch noch Zeit und muss umfangreiche Stabilitätstests bestehen. Neue Versionen erhalten die User im Rahmen ihrer regulären Updates." Ob nun also doch alle vier Lücken geschlossen werden sollen, geht daraus nicht hervor.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kindle Scribe im Test
Amazons E-Book-Reader lernt schreiben

Amazons Kindle Scribe will sowohl E-Reader als auch Remarkable-Notiz-Tablet sein. Diese interessante Mischung hat ihre Vor- und Nachteile.
Ein Test von Tobias Költzsch

Kindle Scribe im Test: Amazons E-Book-Reader lernt schreiben
Artikel
  1. Marvel's Midnight Suns im Test: Strategisch super aufgestellte Helden
    Marvel's Midnight Suns im Test
    Strategisch super aufgestellte Helden

    Doctor Strange, Spider-Man und weitere Superhelden kämpfen im Strategiespiel Marvel's Midnight Suns in einer ungewohnt aufwendigen Kampagne.
    Von Peter Steinlechner

  2. El-Ali-Meteorit: Forscher entdecken zwei neue Minerale in einem Meteorit
    El-Ali-Meteorit
    Forscher entdecken zwei neue Minerale in einem Meteorit

    In einer Probe aus einem in Somalia niedergegangenen Meteoriten wurden zwei Mineralien entdeckt, die auf der Erde so bisher nicht gefunden wurden.

  3. Neue Studie: Des Klimawandels unumkehrbare Folgen
    Neue Studie
    Des Klimawandels unumkehrbare Folgen

    Wer denkt, dass sich beim Klima alles wieder einrenkt, wenn wir nur langsam unseren Treibhausgas-Ausstoß reduzieren, irrt. Eine neue Studie zeigt: Es muss schnell viel passieren, denn manche Änderungen sind unumkehrbar.
    Ein Bericht von Dirk Eidemüller

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon bestellbar • Tiefstpreise: Crucial SSD 4TB 319€, Palit RTX 4080 1.499€, HTC Vive Pro 2 659€ • Alternate: Team Group SSD 512GB 29,99€, AOC Curved 27" 240 Hz 199,90€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ [Werbung]
    •  /