Suchen

AVG gewinnt Pwnie Award auf der Black Hat 2014 Sicherheitshersteller patcht nur eine von vier Sicherheitslücken

| Autor / Redakteur: Markus Robin / Peter Schmitz

Sicherheitsexperten von SEC Consult entdeckten im Januar vier Schwachstellen im AVG Remote Administration Tool. Vier Monate nachdem AVG über die Lücken informiert wurde, wurde Ende April eine davon gepatcht. Auf Nachfrage bestätigte der Hersteller, dass die anderen Sicherheitslücken nicht geschlossen werden. Das brachte AVG auf der Black Hat 2014 Konferenz den „Security Oscar" für die „Lamest Vendor Response“ ein.

Auf der Black Hat Konferenz in Las Vegas wurden mit dem Pwnie Award nicht nur die besten Hacks, sondern auch die größten Fehler des Jahres prämiert. So auch der Antiviren-Hersteller AVG für die „Lamest Vendor Response“.
Auf der Black Hat Konferenz in Las Vegas wurden mit dem Pwnie Award nicht nur die besten Hacks, sondern auch die größten Fehler des Jahres prämiert. So auch der Antiviren-Hersteller AVG für die „Lamest Vendor Response“.
(Bild: Pwnie Awards)

Mit dem Fernwartungstool AVG Remote Administration können Virenschutzprogramme oder Firewalls über einen zentralen Server verwaltet werden. Die von SEC Consult entdeckten Sicherheitslücken ermöglichen es Angreifern, den gesamten AVG Admin Server System zu übernehmen und Schadcode auf den Client-Systemen zu installieren.

Mitte Januar 2014 wurde der Kundendienst durch SEC Consult vertraulich über die Lücken informiert. Nachdem dieser nach mehrmaliger Aufforderung nicht ausreichend reagierte, wurde Ende März der CTO von AVG kontaktiert. Dieser bestätigte die Existenz der vier Schwachstellen.

Vier Monate nachdem AVG über die Lücken informiert wurde, hat das Unternehmen Ende April ein Update herausgegeben. Allerdings wurde nur jene Sicherheitslücke gepatcht, die das Ausführen von Schadcode auf dem Server erlaubt (#2 Remote Code Execution). Wenige Tage danach bestätigte der Hersteller offiziell, dass die anderen Sicherheitslücken nicht geschlossen werden. Am 8. Mai veröffentliche SEC Consult ein Security Advisory sowie zwei Proof-of-Concept-Videos (siehe nächste Seite).

Bei der Black Hat Konferenz von 2. bis 7. August in Las Vegas wurde erneut der innerhalb der Security-Community heißbegehrte Pwnie Award in verschieden Kategorien verliehen. Mit dem Award werden nicht nur die besten Hacks, sondern auch die größten Fehler des Jahres prämiert. So ging der „Security Oscar" u.a. an den Antiviren-Hersteller AVG für die „Lamest Vendor Response“.

Drei der vier entdeckten Sicherheitslücken wurden vom Hersteller bis heute nicht geschlossen. Die Experten von SEC Consult raten zur umgehenden Installation des verfügbaren Hersteller-Patches und sehen die Behebung aller identifizierten Schwachstellen als unbedingt erforderlich an.

(ID:42896915)