[English]Benutzer der Virenschutzlösung erhalten in neueren Versionen den Avira Optimizer installiert. Dieser enthält bis zur Version vor 1.2.0.367 eine Schwachstelle, die eine Privilegien Escalation ermöglicht. Die Avira-Entwickler haben diese Schwachstelle mit der oben erwähnten Version inzwischen behoben.
Sicherheitsforscher Matt Nelson ist dies aufgefallen, er hat unter Windows 10 1803 (x64) getestet. Der folgende Tweet weist auf das Problem, welches durch unsichere named Pipes verursacht wird, hin.
[Blog] Avira Optimizer Local Privilege Escalation: https://t.co/gdOsiNoyRJ
— Matt Nelson (@enigma0x3) August 29, 2019
Hier ein grober Abriss, um was es geht. Die Details lassen sich im verlinkten Beitrag nachlesen.
Schwachstelle Avira.OptimizerHost.exe-Dienst
Bei der Installation des neuesten Avira Antivirenprogramms wird es standardmäßig mit verschiedenen Komponenten ausgeliefert. Eine dieser Komponenten ist der Avira Optimizer. Kurz gesagt, „Avira.OptimizerHost.exe“ läuft als „NT AUTHORITY\SYSTEM“ und übernimmt Befehle, die über die named pipe „AviraOptimizerHost“
\\.\pipe\AviraOptimizerHost
ausgegeben werden. Der Dienst führ eine unsachgemäße Validierung des aufrufenden Clients durch. Hinzu kommen ungültige Prüfungen auf gestartete ausführbare Dateien, die es bösartigem Code ermöglichen, Prozessaufrufe an „Avira.OptimizerHost.exe“ zu erstellen. Das kann zu einer lokalen Privilegieneskalation führen.
Kurzanalyse des Problems
Avira.OptimizerHost.exe kann über eine named Pipe mit Clients kommunizieren. Dabei wird überprüft, ob es sich beim Client um eine Avira-Anwendung handelt. Matt Nelson hat nun einen Weg gefunden, einen eigenen, gefakten Client mit einem Avira-Zertifikat zu verwenden, um mit dem von Avira.OptimizerHost.exe bereitgestellten Dienst zu kommunizieren.
Anschließen kann der Fake-Client eine Eingabeaufforderung öffnen, die dank der named Pipe und dem Avira.OptimizerHost.exe mit System-Privilegien läuft. In diesem Blog-Beitrag geht Matt Nelson auf die Details der Schwachstelle ein.
Schwachstelle bereits behoben
Das Entwicklungsteam von Avira wurde von Matt Nelson kontaktiert, nachdem dieser auf das Problem stieß. Das Team blieb in ständigem Kontakt und löste das Problem in kürzester Zeit. Binnen etwa 30 Tage nach dem ersten Bericht wurde ein Fix entwickelt und an die Nutzer verteilt. Hier der Verlauf des Vorgangs:
- 23. Juli 2019: Schwachstelle an Avira gesendet
- 24. Juli 2019: Bestätigung durch Avira, Hinweise auf compilier-Probleme beim PoC
- 26. Juli 2019: Avira kann das Problem mit dem PoC reproduzieren
- 6. August 2019: Avira stellt ersten Fix bereit und bietet einen Test an.
- 6. August 2019: Antwort an Avira mit einem Bypass für den Patch mit aktualisiertem Proof of Concept (PoC) und Details
- 16. August 2019: Avira legt einen neuen Fix vor und bietet einen neuen Test an.
- 16. August 2019: Fix getestet, scheint die Schwachstelle zu beheben, Information an Avira
- 27. August 2019: Avira verteilt den Fix an seine Nutzer
Am 29. August 2019 hat Matt Nelson die Details der Schwachstelle in diesem Blog-Beitrag offen gelegt.
Ähnliche Artikel:
AVAST und Avira bestätigen April 2019-Update-Probleme
Avira blockt externe Festplatte unter Windows 7
Avira und die Windows-Update-Blockade
AVIRA kippt Launcher mit Bezahlversion auf Nutzersysteme
Wenn das Dridex-Botnet Avira verteilt …
„Optimizer“ – is klar Tim … Ich glaube die ganze AV-Industrie will mit Absicht aussterben, anders kann ich mir solche fragwürdigen „Zusatz-Produkte“ nicht erklären. Ist denen nicht klar, dass solche Programme (die häufig über Werbung der kostenlosen AV-Versionen auf die Rechner gespült werden) den Ruf eher schädigen?
Dann doch lieber den Windows Defender oder wenn lizensiert so einfache Produkte wie „Eset Nod32 Antivirus“, die auf Firewall, Passwortsafe, Optimierer, „sicheren Zahlungsverkehr“, fragwürdige VPN-Lösungen, Browsererweiterungen etc. verzichten.