{"id":222215,"date":"2019-08-31T01:43:41","date_gmt":"2019-08-30T23:43:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=222215"},"modified":"2022-06-23T18:50:42","modified_gmt":"2022-06-23T16:50:42","slug":"sicherheit-avira-optimizer-erlaubt-privilegien-escalation","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/08\/31\/sicherheit-avira-optimizer-erlaubt-privilegien-escalation\/","title":{"rendered":"Sicherheit: Avira Optimizer erlaubt Privilegien Escalation"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/08\/31\/security-avira-optimizer-allows-privilege-escalation\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Benutzer der Virenschutzl\u00f6sung erhalten in neueren Versionen den Avira Optimizer installiert. Dieser enth\u00e4lt bis zur Version vor 1.2.0.367 eine Schwachstelle, die eine Privilegien Escalation erm\u00f6glicht. Die Avira-Entwickler haben diese Schwachstelle mit der oben erw\u00e4hnten Version inzwischen behoben.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/6907a7734667493d99fb28124280a4ca\" alt=\"\" width=\"1\" height=\"1\" \/>Sicherheitsforscher Matt Nelson ist dies aufgefallen, er hat unter Windows 10 1803 (x64) getestet. Der folgende Tweet weist auf das Problem, welches durch unsichere named Pipes verursacht wird, hin.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">[Blog] Avira Optimizer Local Privilege Escalation: <a href=\"https:\/\/t.co\/gdOsiNoyRJ\">https:\/\/t.co\/gdOsiNoyRJ<\/a><\/p>\n<p>\u2014 Matt Nelson (@enigma0x3) <a href=\"https:\/\/twitter.com\/enigma0x3\/status\/1167147443957436416?ref_src=twsrc%5Etfw\">August 29, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Hier ein grober Abriss, um was es geht. Die Details lassen sich im verlinkten Beitrag nachlesen.<\/p>\n<h2>Schwachstelle Avira.OptimizerHost.exe-Dienst<\/h2>\n<p>Bei der Installation des neuesten Avira Antivirenprogramms wird es standardm\u00e4\u00dfig mit verschiedenen Komponenten ausgeliefert. Eine dieser Komponenten ist der Avira Optimizer. Kurz gesagt, \"Avira.OptimizerHost.exe\" l\u00e4uft als \"NT AUTHORITY\\SYSTEM\" und \u00fcbernimmt Befehle, die \u00fcber die named pipe \"AviraOptimizerHost\"<\/p>\n<p>\\\\.\\pipe\\AviraOptimizerHost<\/p>\n<p>ausgegeben werden. Der Dienst f\u00fchr eine unsachgem\u00e4\u00dfe Validierung des aufrufenden Clients durch. Hinzu kommen ung\u00fcltige Pr\u00fcfungen auf gestartete ausf\u00fchrbare Dateien, die es b\u00f6sartigem Code erm\u00f6glichen, Prozessaufrufe an \"Avira.OptimizerHost.exe\" zu erstellen. Das kann zu einer lokalen Privilegieneskalation f\u00fchren.<\/p>\n<h2>Kurzanalyse des Problems<\/h2>\n<p>Avira.OptimizerHost.exe kann \u00fcber eine named Pipe mit Clients kommunizieren. Dabei wird \u00fcberpr\u00fcft, ob es sich beim Client um eine Avira-Anwendung handelt. Matt Nelson hat nun einen Weg gefunden, einen eigenen, gefakten Client mit einem Avira-Zertifikat zu verwenden, um mit dem von Avira.OptimizerHost.exe bereitgestellten Dienst zu kommunizieren.<\/p>\n<p>Anschlie\u00dfen kann der Fake-Client eine Eingabeaufforderung \u00f6ffnen, die dank der named Pipe und dem Avira.OptimizerHost.exe mit System-Privilegien l\u00e4uft. In <a href=\"https:\/\/posts.specterops.io\/avira-optimizer-local-privilege-escalation-af109b7df5b1\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a> geht Matt Nelson auf die Details der Schwachstelle ein.<\/p>\n<h2>Schwachstelle bereits behoben<\/h2>\n<p>Das Entwicklungsteam von Avira wurde von Matt Nelson kontaktiert, nachdem dieser auf das Problem stie\u00df. Das Team blieb in st\u00e4ndigem Kontakt und l\u00f6ste das Problem in k\u00fcrzester Zeit. Binnen etwa 30 Tage nach dem ersten Bericht wurde ein Fix entwickelt und an die Nutzer verteilt. Hier der Verlauf des Vorgangs:<\/p>\n<ul>\n<li>23. Juli 2019: Schwachstelle an Avira gesendet<\/li>\n<li>24. Juli 2019: Best\u00e4tigung durch Avira, Hinweise auf compilier-Probleme beim PoC<\/li>\n<li>26. Juli 2019: Avira kann das Problem mit dem PoC reproduzieren<\/li>\n<li>6. August 2019: Avira stellt ersten Fix bereit und bietet einen Test an.<\/li>\n<li>6. August 2019: Antwort an Avira mit einem Bypass f\u00fcr den Patch mit aktualisiertem Proof of Concept (PoC) und Details<\/li>\n<li>16. August 2019: Avira legt einen neuen Fix vor und bietet einen neuen Test an.<\/li>\n<li>16. August 2019: Fix getestet, scheint die Schwachstelle zu beheben, Information an Avira<\/li>\n<li>27. August 2019: Avira verteilt den Fix an seine Nutzer<\/li>\n<\/ul>\n<p>Am 29. August 2019 hat Matt Nelson die Details der Schwachstelle in <a href=\"https:\/\/posts.specterops.io\/avira-optimizer-local-privilege-escalation-af109b7df5b1\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a> offen gelegt.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/04\/12\/avast-und-avira-besttigen-april-2019-update-probleme\/\">AVAST und Avira best\u00e4tigen April 2019-Update-Probleme<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/07\/16\/avira-blockt-externe-festplatte-unter-windows-7\/\">Avira blockt externe Festplatte unter Windows 7<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/03\/26\/avira-und-die-windows-update-blockade\/\">Avira und die Windows-Update-Blockade<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/07\/28\/avira-kippt-launcher-mit-bezahlversion-auf-nutzersysteme\/\">AVIRA kippt Launcher mit Bezahlversion auf Nutzersysteme<\/a><br \/>\nWenn das Dridex-Botnet Avira verteilt \u2026<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Benutzer der Virenschutzl\u00f6sung erhalten in neueren Versionen den Avira Optimizer installiert. Dieser enth\u00e4lt bis zur Version vor 1.2.0.367 eine Schwachstelle, die eine Privilegien Escalation erm\u00f6glicht. Die Avira-Entwickler haben diese Schwachstelle mit der oben erw\u00e4hnten Version inzwischen behoben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[2741,6664,4328],"class_list":["post-222215","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-avira","tag-schwachstelle","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/222215","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=222215"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/222215\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=222215"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=222215"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=222215"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}