Jahre alte Schwachstellen in Avast und AVG gefährden Millionen Nutzer

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher von Sentinel One haben  in den Sicherheitsprodukten von Avast und AVG zwei seit Jahren bestehende, schwerwiegende Schwachstellen entdeckt, die Millionen von Nutzern gefährden. Die Schwachstellen stecken im Anti Rootkit-Treiber von Avast (der auch von AVG verwendet wird). Angreifern ermöglichen die Schwachstellen die Übernahme des zu schützenden Systems.


Anzeige

Ich bin per Media-Alert von Sentinel auf diesen Sachverhalt, Sicherheitsforscher von Sentinellabs entdeckt haben, aufmerksam gemacht worden. Avast und AVG sind weit verbreitete Antivirenprogramme und die Existenz der beiden kritischen Schwachstellen bedeutet für zahlreiche Nutzer weltweit eine besondere Gefährdung durch Cyberangriffe.

CVE-2022-26522 und CVE-2022-26523

Der Anti Rootkit-Treiber von Avast soll Windows-Systeme eigentlich vor der Installation von Rootkits schützen. Nach dem Aufkauf von AVG durch Avast wurde der Treiber auch in deren Virenschutzprodukten übernommen.

Dummerweise wiesen ältere Versionen dieses Treibers die von den Sentinellabs entdeckten Schwachstellen CVE-2022-26522 und CVE-2022-26523 auf. Beide Schwachstellen sind mit einem hohen Schweregrad gekennzeichnet, denn diese machen Systeme anfällig für äußerst wirksame Angriffsmethoden. Angreifer können über die Schwachstellen im Treiber erweiterte Zugriffsrechte erhalten, so dass s mit normalen Nutzerrechten Code im Kernel-Modus des Systems ausführen können.

Letztendlich ermöglichen die Schwachstellen es Angreifern nicht nur ihre Zugriffsrechte zu erweitern, sondern im Anschluss auch Sicherheitsprodukte zu deaktivieren, Systemkomponenten zu überschreiben, das Betriebssystem zu beschädigen oder ungehindert bösartige Operationen durchzuführen. Hintergrund ist, dass die Sicherheitsprodukte – und speziell der Anti Rootkit-Treiber – zwangsläufig auf der höchsten Privilegierungsstufe des Betriebssystems ausgeführt werden.


Anzeige

Daher sind Schwachstellen in diesen Komponenten für Angreifer äußerst attraktiv. Für Unternehmen und Nutzer stellen Schwachstellen wie diese aber ein äußerst kritisches Risiko dar. Nicht von ungefähr kommt der Begriff Schlangenöl, denn die Sicherheitsprodukte schützen im Zweifelsfall nicht vor Bedrohungen, ermöglichen aber Angriffe. Bedrohungsakteure könnten durch den Exploit enorme finanzielle Schäden anrichten.

Avast im Dezember 2021 informiert

Die Sicherheitsforscher haben Avast im Dezember 2021 über ihre Erkenntnisse informiert. Avast hat im inzwischen (ohne Ankündigung) Sicherheitsupdates für die betreffenden Produkte veröffentlicht, um diese Schwachstellen zu beheben. Die meisten Avast- und AVG-Benutzer erhalten den Patch (Version 22.1) automatisch. Denjenigen, die eine Air Gapped- oder Vor-Ort-Installation verwenden, wird jedoch empfohlen, den Patch so bald wie möglich anzuwenden.

Zum gegenwärtigen Zeitpunkt verfügt SentinelLabs über keine Hinweise auf einen stattgefundenen Exploit der Sicherheitslücken. Nach Angaben von Avast wurde die anfällige Funktion in Avast 12.1 eingeführt, das 2016 veröffentlicht wurde.

Mögliche Auswirkungen der Schwachstellen

Aufgrund der Art dieser Sicherheitslücken können sie von Sandboxen aus ausgelöst werden und sind möglicherweise in anderen Zusammenhängen als nur der lokalen Erweiterung der Privilegien ausnutzbar. Die Schwachstellen könnten beispielsweise als Teil eines Browser-Angriffs der zweiten Stufe ausgenutzt werden, schreiben die Sicherheitsforscher. Oder die Schwachstellen können dazu dienen, aus der Sandbox auszubrechen.

Wie die Forscher bereits bei ähnlichen Schwachstellen in anderen Produkten feststellen konnten, haben solche kritische Schwachstellen das Potenzial, die vollständige Übernahme eines Geräts zu ermöglichen. In diesem Fall sogar ohne Privilegien, da sie die Möglichkeit bieten, Code im Kernel-Modus auszuführen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Jahre alte Schwachstellen in Avast und AVG gefährden Millionen Nutzer

  1. Holger sagt:

    Wie war das mit dem Schlangenöl?

    Es wirkt nur dann, wenn man daran glaubt, bzw. bei diesem Produkt noch nicht einmal dann. Was überrascht, ist, dass die Sicherheitslücke seit 10 Jahren darin geschlummert hat. Führen Antimalwaresoftwarehersteller nie Codeaudits durch? Müssten sie nicht eigentlich dazu verpflichtet sein? Seltsame Welt, diese!

    Im vorliegenden Falle vermute ich, dass ein darauf basierender Exploit in Kombination mit weiteren Exploits nur dann zum Einsatz kommt, wenn das Ziel Politiker, Journalist, Dissident oder sonstige missliebige Person ist und diejenigen, die das zum Einsatz bringen, stattliche Unterstützung genießen bzw. Geheimdienste sind. Für Massenangriffe taugt das nicht!

    Die schlechte Nachricht ist, dass wir, die wir nicht zu den genannten Kategorieren gehören, uns nicht zurücklehnen brauchen. Indirekt könnten wir auch betroffen sein.

    Abschließend noch das Credo: Gewinne müssen immer unter möglichst wenigen Menschen aufgeteilt werden, Risiken jedoch unter möglichst vielen.

    • Anonymous sagt:

      Du sagst es. Ich habe noch nie dieses Schlangenöl genutzt und den Windows Defender deaktiviere ich immer direkt. Noch nie Vieren gehabt. Trotz oder wegen fehlendem Schlangenöl?

      • Gui Do sagt:

        Du hattest noch nie Vieren? Welche Rolle spielt das, solange du keine Viren hattest? :-P
        Aber woher weißt du, dass du noch nie Viren hattest, wenn du keine Software/Scanner benutzt, die dir welche anzeigen könnte?
        Ich würde da nicht so absolut argumentieren… (Wobei das Vorhandensein eines Scanners auch nicht unbedingt ein Garant dafür ist, jede Malware zu finden, das ist schon klar.)

    • Holger sagt:

      Mein Kommentar bezog sich auf nicht vorhandene oder nicht ausreichende Codeaudits, die man eigentlich als Standard bei Software mit Sicherheitsanforderungen als vorausgesetzt ansehen sollte. Ich unterstelle der gesamten Branche, dass dort ein gewaltiges Defizit herrscht. Sollten nun staatliche Stellen hier die Vorgaben stellen oder sollte das wie zuvor, Sache der entsprechenden Anbieter sein?

      Meiner Meinung nach vergeigen es die Anbieter ständig, dass dort entsprechende Standards Einzug erhalten sollten. Ich erachte aber staatliche Stellen als inkompetent, hier Standards vorgeben zu müssen.

      Ich bin seit Jahren bei Produkten von Cisco, HPE und anderen Anbietern tätig und bin bei Kunden dieser Produkte ständig am nachpatchen. Dort sind teilweise haarsträubende Sicherheitlücken vorhanden, die es gilt, zu schließen.

      Teilweise sind es vermeidbare Sicherheitslücken, die mit wenig Aufwand beim Anbieter erkannt werden könnten. Müssten nicht Gesetzgeber hier eine Norm schaffen, damit es erst gar nicht dazu kommt?

      Fehlt Gesetzgebern des Knowhow und wenn ja, wie müsste das Knowhow transferiert werden?

  2. Luzifer sagt:

    Den Airbag im Auto schaltest du ab, weil der ja auch Verbrennungen im Gesicht verursachen kann? Den Sicherheitsgurt nutzt du auch nicht?

    Virenscanner sind kein 1005 Schutz (was jedem mit Verstand klar sein sollte), sondern ein Zahnrad im "Getriebe Sicherheit"
    Das alles von Menschenhand geschaffene Fehler haben kann ist jetzt auch nicht neu.

  3. Karl sagt:

    > Noch nie Vieren gehabt. Trotz oder wegen fehlendem Schlangenöl?

    Hihi. Genau. Wenn man die Hände vor's Gesicht hält kann einen auch keiner mehr sehen. Intrusion Detection ist schon nicht ganz unsinnig. Kommt drauf an wie.

  4. Ralf S. sagt:

    @ Gui Do + Luzifer + Karl:
    Leute, lasst euch doch nicht provozieren! Der Kommentar von"Anonymous " ist doch wieder – wie in letzter Zeit leider öfters auch hier anzutreffen – ein bewusst provokativer (Troll)kommentar. Ich weiß, es juckt bei solchen dümmlichen Äußerungen zu antworten, bringt aber meist nix, da eh meist dann nichts mehr vom Originalposter kommt, oder wenn, dann weiterhin dummes (oder sogar noch dümmeres) Zeugs … Scheint Menschen zu geben, die außerhalb des Internets kein Leben zu haben scheinen und sich wohl einfach gut fühlen, wenn andere auf ihren geschriebenen Mist anspringen …

    • Günter Born sagt:

      Und dabei fische ich in den letzten Wochen schon jede Menge Trollkommentare raus oder schiebe dies in den Spam …

      ist aber immer ein schmaler Grat, was lösche ich, was lasse ich durch

  5. Ralf Lindemann sagt:

    Der Blog-Beitrag ist zwar schon ein paar Tage alt, mir ist aber eine kleine Unschärfe aufgefallen. Laut dem initialen Post von Sentinal Labs besteht die beschriebene Problematik seit dem Erscheinen von Avast 12.1 („…the vulnerable feature was introduced in Avast 12.1"). Avast 12 ist aber erst 2016 erschienen – nicht 2012. 2012 war Avast 7 die aktuelle Version. Die Schwachstelle ist nicht 10 Jahre alt. Demnach sind auch die Avast-Versionen 9 bis 11, die nach wie vor von Avast unterstützt werden, nicht betroffen, obwohl sie nach dem Jahr 2012 veröffentlicht wurden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.