Abo
  • IT-Karriere:

Security: Gravierende Lücke in AVG Remote Administration

Nutzer, die das Fernwartungspaket AVG Remote Administration nutzen, sollten dringend einen aktuellen Patch installieren. Bisher war es möglich, dass Angreifer über das Programm Code einschleusen konnten - aber das ist nicht die einzige Lücke, weitere stehen noch offen.

Artikel veröffentlicht am ,
Login mit falschen Daten
Login mit falschen Daten (Bild: SEC/Screenshot: Golem.de)

Das Security-Unternehmen SEC Consult weist auf vier Lücken im Programm AVG Remote Administration hin. Entdeckt hat sie der Sicherheitsforscher Stefan Viehböck. Die Fehler stecken in der Client-Anwendung des Fernwartungspakets, dieses Programm führt auch die Authentifizierung über Passwörter durch. Diese werden vom Server verschlüsselt gesendet, aber nur auf dem Client geprüft.

Stellenmarkt
  1. OEDIV KG, Oldenburg
  2. Bechtle Onsite Services, Oberhausen

Daher ist es möglich, das Clientprogramm so zu manipulieren, dass jedes Passwort akzeptiert wird. Ein Angreifer kann sich mit einem so präparierten Client so verbinden, als wäre er dessen Administrator, Einstellungen ändern, Daten abgreifen und so agieren, als säße er vor dem Rechner.

Eine weitere Lücke ermöglichte es bisher auch, über den Server des Remote-Systems Programme in den fremden Rechner einzuschleusen. Nach monatelangem Kontakt, so schreibt Viehböck in seinem Security-Advisory, habe sich AVG entschlossen, diese Lücke zu patchen - die anderen, so meint das Unternehmen, seien weniger kritisch. Dazu gehört auch eine mangelhafte Verschlüsselung des Protokolls, das die Fernwartungssoftware benutzt.

Viehböck hat zu den Lücken zwei Youtube-Videos erstellt, die seinen Proof-of-Concept im Einsatz zeigen. Er empfiehlt, die betroffenen AVG-Anwendungen nicht mehr zu nutzen und auch die Fernwartung auf den Clients zu deaktivieren. Wenn das nicht möglich ist, sollte zumindest der Patch gegen die Remote-Ausführung von Programmen installiert werden. Eine unmittelbare Stellungnahme von AVG zu den weiterhin nicht geschlossenen Lücken liegt noch nicht vor.

Nachtrag vom 8. Mai 2014, 18:05 Uhr

AVG hat sich inzwischen zu den Problemen wie folgt geäußert: "Die von SEC entdeckten Lücken wurden an die AVG-Entwicklung gemeldet. An einer Lösung arbeiten die Entwickler, eine Aktualisierung benötigt jedoch noch Zeit und muss umfangreiche Stabilitätstests bestehen. Neue Versionen erhalten die User im Rahmen ihrer regulären Updates." Ob nun also doch alle vier Lücken geschlossen werden sollen, geht daraus nicht hervor.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 29,99€
  3. 4,31€
  4. (-25%) 44,99€

__fastcall 09. Mai 2014

Ist mir Bewusst, keiner haftet dafür. Sollte aber in solchen Fällen so sein. Die Kunden...


Folgen Sie uns
       


Asus Zephyrus G GA502 - Test

Sparsamer Sprinter mit dunklem Display: das Zephyrus G GA502 im Test.

Asus Zephyrus G GA502 - Test Video aufrufen
IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  2. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  3. IT-Standorte Wie kann Leipzig Hypezig bleiben?

Mobile Payment: Mit QR-Code-Kooperation zum europäischen Standard
Mobile Payment
Mit QR-Code-Kooperation zum europäischen Standard

Die Mobile Wallet Collaboration will ein einheitliches QR-Format als technische Grundlage für ein vereinfachtes Handling etablieren. Die Allianz aus sechs europäischen Bezahldiensten und Alipay aus China ist eine ernstzunehmende Konkurrenz für Google, Apple, Facebook, Amazon.
Von Sabine T. Ruh


    OKR statt Mitarbeitergespräch: Wir müssen reden
    OKR statt Mitarbeitergespräch
    Wir müssen reden

    Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
    Von Markus Kammermeier

    1. Arbeit Hilfe für frustrierte ITler
    2. IT-Arbeitsmarkt Jobgarantie gibt es nie
    3. IT-Fachkräftemangel Freie sind gefragt

      •  /