Sicherheitsexperten von SEC Consult entdeckten im Januar vier Schwachstellen im AVG Remote Administration Tool. Vier Monate nachdem AVG über die Lücken informiert wurde, wurde Ende April eine davon gepatcht. Auf Nachfrage bestätigte der Hersteller, dass die anderen Sicherheitslücken nicht geschlossen werden. Das brachte AVG auf der Black Hat 2014 Konferenz den „Pwnie Award" für die „Lamest Vendor Response“ ein.
Auf der Black Hat Konferenz in Las Vegas wurden mit dem Pwnie Award nicht nur die besten Hacks, sondern auch die größten Fehler des Jahres prämiert. So auch der Antiviren-Hersteller AVG für die „Lamest Vendor Response“.
(Bild: Pwnie Awards)
Mit dem Fernwartungstool AVG Remote Administration können Virenschutzprogramme oder Firewalls über einen zentralen Server verwaltet werden. Die von SEC Consult entdeckten Sicherheitslücken ermöglichen es Angreifern, den gesamten AVG Admin Server System zu übernehmen und Schadcode auf den Client-Systemen zu installieren.
Mitte Januar 2014 wurde der Kundendienst durch SEC Consult vertraulich über die Lücken informiert. Nachdem dieser nach mehrmaliger Aufforderung nicht ausreichend reagierte, wurde Ende März der CTO von AVG kontaktiert. Dieser bestätigte die Existenz der vier Schwachstellen.
Vier Monate nachdem AVG über die Lücken informiert wurde, hat das Unternehmen Ende April ein Update herausgegeben. Allerdings wurde nur jene Sicherheitslücke gepatcht, die das Ausführen von Schadcode auf dem Server erlaubt (#2 Remote Code Execution). Wenige Tage danach bestätigte der Hersteller offiziell, dass die anderen Sicherheitslücken nicht geschlossen werden. Am 8. Mai veröffentliche SEC Consult ein Security Advisory sowie zwei Proof-of-Concept-Videos (siehe nächste Seite).
Bei der Black Hat Konferenz von 2. bis 7. August in Las Vegas wurde erneut der innerhalb der Security-Community heißbegehrte Pwnie Award in verschieden Kategorien verliehen. Mit dem Award werden nicht nur die besten Hacks, sondern auch die größten Fehler des Jahres prämiert. So ging der „Pwnie Award" u.a. an den Antiviren-Hersteller AVG für die „Lamest Vendor Response“.
Drei der vier entdeckten Sicherheitslücken wurden vom Hersteller bis heute nicht geschlossen. Die Experten von SEC Consult raten zur umgehenden Installation des verfügbaren Hersteller-Patches und sehen die Behebung aller identifizierten Schwachstellen als unbedingt erforderlich an.
Die Schwachstellen im Detail
Das Produkt „AVG Remote Administration“ setzt sich aus drei Komponenten zusammen: Dem AVG Admin Server, der AVG Admin Console (Fat Client) und dem AVG AntiVirus (Managed Endpoints), wobei alle dasselbe Verschlüsselungsprotokoll verwenden.
1. „Authentication-Bypass“ Schwachstelle
Die Authentifizierungsprüfung der AVG Admin Console erfolgt auf dem Client. Dabei sendet der AVG Admin Server eine Liste mit den Hashwerten gültiger Benutzernamen und Passwörter an die AVG Admin Console. Da die Admin Console vom Client kontrolliert wird, kann die Authentifizierung leicht umgangen werden. Verbunden mit dem Server können sich Angreifer als legitimer Administrator ausgeben und sämtliche Clients fernsteuern.
Die Schwachstelle wurde von AVG als geringes Risiko eingestuft („This is by design“).
2. „Remote Code Execution“
Diese Schwachstelle erlaubt es einem Angreifer, der Zugang zum Administrator-Interface der Software hat, beliebige Dynamic Link Libraries (DLLs) mit Schadcode über ein Netzwerk zu laden und dadurch System-Rechte auf dem Server zu erlangen.
Die Schwachstelle wurde von AVG als hohes Risiko eingestuft und wurde behoben. (Patched).
3. Fehlende „Entity Authentication“
SEC Consult stellte fest, dass die Authentifizierung bei der Serveranmeldung auf dem Client des Nutzers stattfindet, der sich anmelden möchte. Das bedeutet, Angreifer können die Client-Software so manipulieren, dass eine Anmeldung ohne ein Passwort zu kennen möglich ist.
Die Schwachstelle wurde von AVG als mittleres Risiko eingestuft („This attack is difficult to set up“).
4. Einsatz von statischen Verschlüsselungsprotokollen und unsichere Betriebsweise
Die Kommunikation zwischen Client und Server ist ungenügend abgesichert. Das zum Einsatz kommende Verschlüsselungsprotokoll verwendet zudem statische Schlüssel, die aus dem Client ausgelesen werden können. Die Experten von SEC Consult konnten dabei auch feststellen, dass sich die Client-Server-Kommunikation mit einem Python-Code überlisten lässt. Daraufhin kann ein Angreifer sämtliche Kommunikation zwischen den AVG-Programmen entschlüsseln.
Die Schwachstelle wurde von AVG als geringes Risiko eingestuft („The cipher is used here just for the obfuscation of the traffic, it was not meant to protect any private data“).
Sicherheitssoftware = sicher?
SEC Consult beschäftigt sich mittlerweile seit 2002 mit der Prüfung von Standardsoftware hinsichtlich Sicherheitsschwachstellen und legte in den vergangenen zwei Jahren besonderen Fokus auf Sicherheitssoftware. Dabei zeigt sich eine deutliche Entwicklung: Es herrscht ein beträchtlicher Aufholholbedarf seitens der Hersteller in der Qualitätssicherung bei der Softwareentwicklung, was am Beispiel der AVG verdeutlicht wird.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Autor Markus Robin ist General Manager von SEC Consult.
(Bild SEC Consult)
Die Realität aus dem „SEC Consult Vulnerability Lab“ zeigt klar, dass bereits mehr als 50 Prozent der überprüften Standardsoftware „toxisch“ ist, d.h. kritische Sicherheitsschwachstellen beinhaltet. „Toxische Software“ sieht, hört und riecht man nicht. Sie ist auch nicht sofort bei Installation schädlich. Erst gezielte Hacker-Angriffe (Advanced Persistent Threats, APTs) decken Sicherheitsschwachstellen auf. Diese gefährlichen Schwachstellen sind auf Qualitätsmängel zurückzuführen, die bei der Produktentwicklung entstanden sind. Fehlerfreie Software gibt es nicht. Dennoch liegt die Verantwortung beim Hersteller, mögliche in der Software enthaltene, Schwachstellen im Rahmen von professioneller Sicherheitstests flächendeckend auf ein Minimum zu reduzieren. Genauso wichtig ist die Informationsweitergabe an den Kunden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/07/6c/076c11246da596bd1baac4771205a824/0122470970v1.jpeg "Am Microsoft Patchday im Juni schließt der Hersteller einige Sicherheitslücken, die sehr leicht auszunutzen sind. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/52/dc521bdab93d88d2448fc1f891bf1489/0124229151v1.jpeg "Die Entwickler der Analyseplattform-Spotfire haben zwei kritische Schwachstellen geschlossen. Durch die Sicherheitslücken sind veraltete Softwareversionen anfällig für Malware-Attacken. (Bild: Midjourney / KI-generiert)")