Sicherheit: Avira Optimizer erlaubt Privilegien Escalation

[English]Benutzer der Virenschutzlösung erhalten in neueren Versionen den Avira Optimizer installiert. Dieser enthält bis zur Version vor 1.2.0.367 eine Schwachstelle, die eine Privilegien Escalation ermöglicht. Die Avira-Entwickler haben diese Schwachstelle mit der oben erwähnten Version inzwischen behoben.


Anzeige

Sicherheitsforscher Matt Nelson ist dies aufgefallen, er hat unter Windows 10 1803 (x64) getestet. Der folgende Tweet weist auf das Problem, welches durch unsichere named Pipes verursacht wird, hin.

Hier ein grober Abriss, um was es geht. Die Details lassen sich im verlinkten Beitrag nachlesen.

Schwachstelle Avira.OptimizerHost.exe-Dienst

Bei der Installation des neuesten Avira Antivirenprogramms wird es standardmäßig mit verschiedenen Komponenten ausgeliefert. Eine dieser Komponenten ist der Avira Optimizer. Kurz gesagt, "Avira.OptimizerHost.exe" läuft als "NT AUTHORITY\SYSTEM" und übernimmt Befehle, die über die named pipe "AviraOptimizerHost"


Anzeige

\\.\pipe\AviraOptimizerHost

ausgegeben werden. Der Dienst führ eine unsachgemäße Validierung des aufrufenden Clients durch. Hinzu kommen ungültige Prüfungen auf gestartete ausführbare Dateien, die es bösartigem Code ermöglichen, Prozessaufrufe an "Avira.OptimizerHost.exe" zu erstellen. Das kann zu einer lokalen Privilegieneskalation führen.

Kurzanalyse des Problems

Avira.OptimizerHost.exe kann über eine named Pipe mit Clients kommunizieren. Dabei wird überprüft, ob es sich beim Client um eine Avira-Anwendung handelt. Matt Nelson hat nun einen Weg gefunden, einen eigenen, gefakten Client mit einem Avira-Zertifikat zu verwenden, um mit dem von Avira.OptimizerHost.exe bereitgestellten Dienst zu kommunizieren.

Anschließen kann der Fake-Client eine Eingabeaufforderung öffnen, die dank der named Pipe und dem Avira.OptimizerHost.exe mit System-Privilegien läuft. In diesem Blog-Beitrag geht Matt Nelson auf die Details der Schwachstelle ein.

Schwachstelle bereits behoben

Das Entwicklungsteam von Avira wurde von Matt Nelson kontaktiert, nachdem dieser auf das Problem stieß. Das Team blieb in ständigem Kontakt und löste das Problem in kürzester Zeit. Binnen etwa 30 Tage nach dem ersten Bericht wurde ein Fix entwickelt und an die Nutzer verteilt. Hier der Verlauf des Vorgangs:

  • 23. Juli 2019: Schwachstelle an Avira gesendet
  • 24. Juli 2019: Bestätigung durch Avira, Hinweise auf compilier-Probleme beim PoC
  • 26. Juli 2019: Avira kann das Problem mit dem PoC reproduzieren
  • 6. August 2019: Avira stellt ersten Fix bereit und bietet einen Test an.
  • 6. August 2019: Antwort an Avira mit einem Bypass für den Patch mit aktualisiertem Proof of Concept (PoC) und Details
  • 16. August 2019: Avira legt einen neuen Fix vor und bietet einen neuen Test an.
  • 16. August 2019: Fix getestet, scheint die Schwachstelle zu beheben, Information an Avira
  • 27. August 2019: Avira verteilt den Fix an seine Nutzer

Am 29. August 2019 hat Matt Nelson die Details der Schwachstelle in diesem Blog-Beitrag offen gelegt.

Ähnliche Artikel:
AVAST und Avira bestätigen April 2019-Update-Probleme
Avira blockt externe Festplatte unter Windows 7
Avira und die Windows-Update-Blockade
AVIRA kippt Launcher mit Bezahlversion auf Nutzersysteme
Wenn das Dridex-Botnet Avira verteilt …


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Sicherheit: Avira Optimizer erlaubt Privilegien Escalation

  1. oli sagt:

    "Optimizer" – is klar Tim … Ich glaube die ganze AV-Industrie will mit Absicht aussterben, anders kann ich mir solche fragwürdigen "Zusatz-Produkte" nicht erklären. Ist denen nicht klar, dass solche Programme (die häufig über Werbung der kostenlosen AV-Versionen auf die Rechner gespült werden) den Ruf eher schädigen?

    Dann doch lieber den Windows Defender oder wenn lizensiert so einfache Produkte wie "Eset Nod32 Antivirus", die auf Firewall, Passwortsafe, Optimierer, "sicheren Zahlungsverkehr", fragwürdige VPN-Lösungen, Browsererweiterungen etc. verzichten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.