Ich greife das Thema nochmals auf – auf den Antivirus-Anbieter AVAST gab es ja einen Chain-Supply-Angriff. Soll angeblich nichts passiert sein – aber den Anbieter scheint es zu beuteln – zumindest steht die Auslieferung von Antivirus-Signaturen seit Anfang Oktober 2019.
Anzeige
Cyber-Angriff auf AVAST
Am 23. September 2019 bemerkte der Antivirus-Anbieter AVAST verdächtige Aktivitäten in seinem Firmennetzwerk. Am 1. Oktober 2019 wurden dann weitere Zugriffe auf das AVAST-Netzwerk per VPN (MS ATA/VPN) bemerkt.
Bei der eingeleiteten Analyse der für Zugriffe verwendeten externen IPs wurde festgestellt, dass der oder die Angreifer bereits seit dem 14. Mai 2019 über einen kompromittierten VPN-Zugang (der keine 2FA verwendete) auf das AVAST-Netzwerk zugriffen.
Der Vorgang wurde von mir im Blog-Beitrag Abbis: AVAST wehrt Cyber-Angriff auf Netzwerk ab thematisiert. AVAST hat das Ganze Abbis getauft und in diesem Blog-Beitrag bestätigt. Dort ist von einem Cyber-Spionage-Versuch die Rede und es wird vermutet, dass es dem CCleaner galt. Aussage war, dass die Angriffe die Entwicklungsrechner zum Erstellen von Produktbuilds und die Produktsicherheit nicht gefährdet hätten.
AVAST gibt aber an, dass man am 25. September alle anstehenden CCleaner-Releases auf Eis legte und begann, frühere CCleaner-Releases zu prüfen und zu verifizieren, dass keine bösartigen Änderungen vorgenommen worden waren. Weitere vorbeugende Maßnahmen waren, zunächst ein sauberes Produktupdate neu zu signieren, das am 15. Oktober über ein automatisches Update an Nutzer verteilt wurde. Das vorherige Zertifikat wurde widerrufen.
AVAST: Probleme mit Antivirus-Definitions-Updates
Nach obigen Ausführungen ist das alles nochmals gut gegangen und AVAST mit einem Schrecken davon gekommen. Aber Blog-Leser Ralf Lindemann wies in den Kommentaren zum Blog-Beitrag Abbis: AVAST wehrt Cyber-Angriff auf Netzwerk ab darauf hin, dass es bei AVAST Probleme für Nutzer von Antivirus-Software gäbe. Es werden seit dem 10. Oktober 2019 keine Antivirus-Definitionen mehr ausgeliefert (siehe folgendes Bild).
Darauf wies Ralf Lindemann in diesem Kommentar hin, und im AVAST-Forum, auf welches er verwies, findet sich diese Verlautbarung (gelöscht) vom 23. Oktober 2019:
INFO: Following the attack attempt on our network which we communicated on October 21, we thoroughly scrutinized all releases which led to the suspension of VPS updates for all Avast products versions 9.x – 19.x for four days, which was an important precautionary measure to analyze them for any modified code. This is the reason for the delay in the delivery of VPS updates last week. We have since confirmed that the VPS updates are secure. As a second additional step, we implemented a process whereby product updates, including VPS updates, are thoroughly checked and updated every few days, instead on a daily basis. We are working hard on returning to our regular process of issuing daily VPS updates.
For Avast users who are currently still using an Avast version 8.x, the VPS updates are on hold and undergoing rigorous inspection. We are working hard to resolve this as soon as possible.
Despite these delays, we are confident to say that all of our users are protected. Avast's threat detection systems consist of multiple layers of security and the automatically streamed updates that are being released continuously between the aggregate VPS updates run every 3-5 minutes to deliver virus definition data, and ensure that our business and consumer users remains fully protected at all times.
Nachdem der Angriff (vom September 2019) am 21. Oktober eingestanden wurde, hat man die Freigabe der VPS-Updates (Virendefinitionen) für alle AVAST Sicherheits-Produkte der Versionen 9.x – 19.x für vier Tage gestoppt. Das wurde als Vorsichtsmaßnahme deklariert. Aber auch am 31. Oktober 2019 gibt es noch keine neuen Signatur-Updates.
Anzeige
Keine Ahnung, was das bedeutet – aber man sollte schon anfangen, sich Gedanken zu machen, wenn man auf AVAST-Sicherheitslösungen aufsetzt. Oder habt ihr VPS-Updates erhalten, sprich: Die bei AVAST aktualisieren nur ihre Webseite nicht mehr?
Ähnliche Artikel:
Avast Free Antivirus: Lizenz lässt sich nicht verlängern
Avast 'spioniert' HTTPS-Verbindungen aus
Abbis: AVAST wehrt Cyber-Angriff auf Netzwerk ab
2015
Hallo zusammen,
wir setzen AVAST Business Antivirus ein, und hier sind die Signaturen vom 191029-0 (Programmversion 19.7.2537 Build 19.7.4674.542), ausgelesen aus "Über Avast" eines installierten Clients.
Gruß
Andreas
Beim hier eingesetzten AVASTfree ist auch die von Andreas angeschriebene Signatur installiert.
Was (mir) aber auffällt ist, ist die nicht mehr so hohe Aktualisierungsrate seitens AVAST was Signaturen betrifft – soll heißen "früher" kamen bis zu 8 Signaturenaktualisierungen am Tag per "Streamupdate" rein, im letzten Monat waren es nur maximal deren 2 innerhalb von 24 Stunden!
Kann aber auch mit dem Angriff zu schaffen haben?!?
Das mit den Hinweisen auf der Seite sehe ich weniger kritisch, Hauptsache das Programm und die Aktualisierungen selbst sind aktuell.
Hallo zusammen,
ich setze AVAST Free Antivirus ein und die Version der Virendefinitionen/Signaturen ist: 191029-0 (Programmversion: 19.8.2393 (Build 19.8.4793.541)).
Gruß Andrej
Also ich nutze auch Avast Free und die letzte Aktualisierung der Virendefinitionen war am 29.10 mit der Signatur 191029-0.
Wer unter Windows 10 andre AV-Lösungen, statt Windows Defender verwendet, muss sehr genau abwägen, was die Konsequenzen sind.
Besonders bei den kostenlosen Programmen.
Das gilt nicht nur für AVAST, AVIRA, AVG und…
Neben Bloatware und Sicherheitsrisiken, steigt auch die Wahrscheinlichkeit, dass Windows beim nächsten Update nicht mehr hochfährt.
Wer zusätzlich Tuning und Cleaner -Software anwendet, ohne genau Kenntnis und manuelle Konfiguration, der bringt seinen PC zum Service, wo ich täglich solchen Unrat entferne…
Privat verwende ich den WD und HitmaPro.Alert UND ein wöchentliches Image.
Auf meinem neu gekauften Huawei Smartblöd mit Android ist Avast ab Werk drauf, und nicht freiwillig.
Ob Avast bei allen Android-Smartblöd ab Werk mit ausgeliefert wird, weiss ich nicht. Es wäre aber interessant zu wissen, denn wer Avast infiltriert, hätte dann gleichzeitig auch Zugang zu allen Android-Smartblöd.
"Huawei Smartblöd"
Warum dann überhaupt gekauft?? Aber wenn's natürlich so gut passt! Wer sich den Schuh selbst anzieht…
Das war mein erstes Smartblöd überhaupt.
Was meinst du zur These, dass der mit den Android-Smarblöds ab Werk mitausgelieferte Avast das Ziel des Angriffs war?
Kann man nicht verallgemeinern. Ich nutze seit x Jahren GDATA Antivirus, so zu sagen historisch gewachsen. Den habe ich mir mal für mein damaliges Win7 System gekauft. Aus dem Win7 habe ich per Upgrade ein Win10 gemacht und den GDATA übernommen. Gut, bei den Feauture Upgrades deaktiviere ich den. Aber bei den üblichen Updates/Patches bleibt er aktiviert.
Ein Hersteller muss schon seine Hausaufgaben machen, um bei Win10 mit zuspielen. Ich kann da gegen GDATA nichts Negatives berichten. Wenn ich bedenke, was manche mit AVIRA, AVSAST etc. für Stress haben.
Wenn ich mir aktuell ein neues Win10 System aufsetzen würde, reicht der Defender dicke aus.