AVG gewinnt Pwnie Award auf der Black Hat 2014

Sicherheitshersteller patcht nur eine von vier Sicherheitslücken

| Autor / Redakteur: Markus Robin / Peter Schmitz

Auf der Black Hat Konferenz in Las Vegas wurden mit dem Pwnie Award nicht nur die besten Hacks, sondern auch die größten Fehler des Jahres prämiert. So auch der Antiviren-Hersteller AVG für die „Lamest Vendor Response“.
Auf der Black Hat Konferenz in Las Vegas wurden mit dem Pwnie Award nicht nur die besten Hacks, sondern auch die größten Fehler des Jahres prämiert. So auch der Antiviren-Hersteller AVG für die „Lamest Vendor Response“. (Bild: Pwnie Awards)

Sicherheitsexperten von SEC Consult entdeckten im Januar vier Schwachstellen im AVG Remote Administration Tool. Vier Monate nachdem AVG über die Lücken informiert wurde, wurde Ende April eine davon gepatcht. Auf Nachfrage bestätigte der Hersteller, dass die anderen Sicherheitslücken nicht geschlossen werden. Das brachte AVG auf der Black Hat 2014 Konferenz den „Security Oscar" für die „Lamest Vendor Response“ ein.

Mit dem Fernwartungstool AVG Remote Administration können Virenschutzprogramme oder Firewalls über einen zentralen Server verwaltet werden. Die von SEC Consult entdeckten Sicherheitslücken ermöglichen es Angreifern, den gesamten AVG Admin Server System zu übernehmen und Schadcode auf den Client-Systemen zu installieren.

Mitte Januar 2014 wurde der Kundendienst durch SEC Consult vertraulich über die Lücken informiert. Nachdem dieser nach mehrmaliger Aufforderung nicht ausreichend reagierte, wurde Ende März der CTO von AVG kontaktiert. Dieser bestätigte die Existenz der vier Schwachstellen.

Vier Monate nachdem AVG über die Lücken informiert wurde, hat das Unternehmen Ende April ein Update herausgegeben. Allerdings wurde nur jene Sicherheitslücke gepatcht, die das Ausführen von Schadcode auf dem Server erlaubt (#2 Remote Code Execution). Wenige Tage danach bestätigte der Hersteller offiziell, dass die anderen Sicherheitslücken nicht geschlossen werden. Am 8. Mai veröffentliche SEC Consult ein Security Advisory sowie zwei Proof-of-Concept-Videos (siehe nächste Seite).

Bei der Black Hat Konferenz von 2. bis 7. August in Las Vegas wurde erneut der innerhalb der Security-Community heißbegehrte Pwnie Award in verschieden Kategorien verliehen. Mit dem Award werden nicht nur die besten Hacks, sondern auch die größten Fehler des Jahres prämiert. So ging der „Security Oscar" u.a. an den Antiviren-Hersteller AVG für die „Lamest Vendor Response“.

Drei der vier entdeckten Sicherheitslücken wurden vom Hersteller bis heute nicht geschlossen. Die Experten von SEC Consult raten zur umgehenden Installation des verfügbaren Hersteller-Patches und sehen die Behebung aller identifizierten Schwachstellen als unbedingt erforderlich an.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42896915 / Schwachstellen-Management)