Suchen

AVG gewinnt Pwnie Award auf der Black Hat 2014 Sicherheitshersteller patcht nur eine von vier Sicherheitslücken

Autor / Redakteur: Markus Robin / Peter Schmitz

Sicherheitsexperten von SEC Consult entdeckten im Januar vier Schwachstellen im AVG Remote Administration Tool. Vier Monate nachdem AVG über die Lücken informiert wurde, wurde Ende April eine davon gepatcht. Auf Nachfrage bestätigte der Hersteller, dass die anderen Sicherheitslücken nicht geschlossen werden. Das brachte AVG auf der Black Hat 2014 Konferenz den „Security Oscar" für die „Lamest Vendor Response“ ein.

Auf der Black Hat Konferenz in Las Vegas wurden mit dem Pwnie Award nicht nur die besten Hacks, sondern auch die größten Fehler des Jahres prämiert. So auch der Antiviren-Hersteller AVG für die „Lamest Vendor Response“.
Auf der Black Hat Konferenz in Las Vegas wurden mit dem Pwnie Award nicht nur die besten Hacks, sondern auch die größten Fehler des Jahres prämiert. So auch der Antiviren-Hersteller AVG für die „Lamest Vendor Response“.
(Bild: Pwnie Awards)

Mit dem Fernwartungstool AVG Remote Administration können Virenschutzprogramme oder Firewalls über einen zentralen Server verwaltet werden. Die von SEC Consult entdeckten Sicherheitslücken ermöglichen es Angreifern, den gesamten AVG Admin Server System zu übernehmen und Schadcode auf den Client-Systemen zu installieren.

Mitte Januar 2014 wurde der Kundendienst durch SEC Consult vertraulich über die Lücken informiert. Nachdem dieser nach mehrmaliger Aufforderung nicht ausreichend reagierte, wurde Ende März der CTO von AVG kontaktiert. Dieser bestätigte die Existenz der vier Schwachstellen.

Vier Monate nachdem AVG über die Lücken informiert wurde, hat das Unternehmen Ende April ein Update herausgegeben. Allerdings wurde nur jene Sicherheitslücke gepatcht, die das Ausführen von Schadcode auf dem Server erlaubt (#2 Remote Code Execution). Wenige Tage danach bestätigte der Hersteller offiziell, dass die anderen Sicherheitslücken nicht geschlossen werden. Am 8. Mai veröffentliche SEC Consult ein Security Advisory sowie zwei Proof-of-Concept-Videos (siehe nächste Seite).

Bei der Black Hat Konferenz von 2. bis 7. August in Las Vegas wurde erneut der innerhalb der Security-Community heißbegehrte Pwnie Award in verschieden Kategorien verliehen. Mit dem Award werden nicht nur die besten Hacks, sondern auch die größten Fehler des Jahres prämiert. So ging der „Security Oscar" u.a. an den Antiviren-Hersteller AVG für die „Lamest Vendor Response“.

Drei der vier entdeckten Sicherheitslücken wurden vom Hersteller bis heute nicht geschlossen. Die Experten von SEC Consult raten zur umgehenden Installation des verfügbaren Hersteller-Patches und sehen die Behebung aller identifizierten Schwachstellen als unbedingt erforderlich an.

Die Schwachstellen im Detail

Das Produkt „AVG Remote Administration“ setzt sich aus drei Komponenten zusammen: Dem AVG Admin Server, der AVG Admin Console (Fat Client) und dem AVG AntiVirus (Managed Endpoints), wobei alle dasselbe Verschlüsselungsprotokoll verwenden.

1. „Authentication-Bypass“ Schwachstelle

Die Authentifizierungsprüfung der AVG Admin Console erfolgt auf dem Client. Dabei sendet der AVG Admin Server eine Liste mit den Hashwerten gültiger Benutzernamen und Passwörter an die AVG Admin Console. Da die Admin Console vom Client kontrolliert wird, kann die Authentifizierung leicht umgangen werden. Verbunden mit dem Server können sich Angreifer als legitimer Administrator ausgeben und sämtliche Clients fernsteuern.

Die Schwachstelle wurde von AVG als geringes Risiko eingestuft („This is by design“).

2. „Remote Code Execution“

Diese Schwachstelle erlaubt es einem Angreifer, der Zugang zum Administrator-Interface der Software hat, beliebige Dynamic Link Libraries (DLLs) mit Schadcode über ein Netzwerk zu laden und dadurch System-Rechte auf dem Server zu erlangen.

Die Schwachstelle wurde von AVG als hohes Risiko eingestuft und wurde behoben. (Patched).

3. Fehlende „Entity Authentication“

SEC Consult stellte fest, dass die Authentifizierung bei der Serveranmeldung auf dem Client des Nutzers stattfindet, der sich anmelden möchte. Das bedeutet, Angreifer können die Client-Software so manipulieren, dass eine Anmeldung ohne ein Passwort zu kennen möglich ist.

Die Schwachstelle wurde von AVG als mittleres Risiko eingestuft („This attack is difficult to set up“).

4. Einsatz von statischen Verschlüsselungsprotokollen und unsichere Betriebsweise

Die Kommunikation zwischen Client und Server ist ungenügend abgesichert. Das zum Einsatz kommende Verschlüsselungsprotokoll verwendet zudem statische Schlüssel, die aus dem Client ausgelesen werden können. Die Experten von SEC Consult konnten dabei auch feststellen, dass sich die Client-Server-Kommunikation mit einem Python-Code überlisten lässt. Daraufhin kann ein Angreifer sämtliche Kommunikation zwischen den AVG-Programmen entschlüsseln.

Die Schwachstelle wurde von AVG als geringes Risiko eingestuft („The cipher is used here just for the obfuscation of the traffic, it was not meant to protect any private data“).

Sicherheitssoftware = sicher?

SEC Consult beschäftigt sich mittlerweile seit 2002 mit der Prüfung von Standardsoftware hinsichtlich Sicherheitsschwachstellen und legte in den vergangenen zwei Jahren besonderen Fokus auf Sicherheitssoftware. Dabei zeigt sich eine deutliche Entwicklung: Es herrscht ein beträchtlicher Aufholholbedarf seitens der Hersteller in der Qualitätssicherung bei der Softwareentwicklung, was am Beispiel der AVG verdeutlicht wird.

Autor Markus Robin ist General Manager von SEC Consult.
Autor Markus Robin ist General Manager von SEC Consult.
(Bild SEC Consult)
Die Realität aus dem „SEC Consult Vulnerability Lab“ zeigt klar, dass bereits mehr als 50 Prozent der überprüften Standardsoftware „toxisch“ ist, d.h. kritische Sicherheitsschwachstellen beinhaltet. „Toxische Software“ sieht, hört und riecht man nicht. Sie ist auch nicht sofort bei Installation schädlich. Erst gezielte Hacker-Angriffe (Advanced Persistent Threats, APTs) decken Sicherheitsschwachstellen auf. Diese gefährlichen Schwachstellen sind auf Qualitätsmängel zurückzuführen, die bei der Produktentwicklung entstanden sind. Fehlerfreie Software gibt es nicht. Dennoch liegt die Verantwortung beim Hersteller, mögliche in der Software enthaltene, Schwachstellen im Rahmen von professioneller Sicherheitstests flächendeckend auf ein Minimum zu reduzieren. Genauso wichtig ist die Informationsweitergabe an den Kunden.

(ID:42896915)