Si vous gérez sur votre parc machine, l’antivirus AVG via la console AVG sachez qu’une bonne grosse faille de n00b vient d’y être découverte par la société SEC Consult.

Lors du processus d’authentification, la vérification des identifiants se fait tout simplement au niveau du client lourd et non pas du serveur. La console d’admin AVG récupère à partir du serveur la liste des noms d’utilisateurs et les mots de passe hashés correspondant pour faire la vérification.

Du coup, il suffit de patcher le binaire pour qu’il réponde toujours OK lorsqu’on entre n’importe quel mot de passe et HOP, l’attaquant aura alors un accès administrateur complet au serveur d’administration AVG.

Démonstration :

TROP MARRANT !

Edit : AVG vient de m’envoyer un communiqué que voici.

AVG a pris connaissance du rapport publié par le cabinet de conseil en sécurité, Sec Consult Vulnerability Lab. Avant même la publication du rapport, AVG avait répondu au Lab quant à la vulnérabilité d’AVG Remote Management.

Parmi les éléments mis en cause par ce rapport, AVG explique que seule l’exécution du code à distance nécessitait une correction immédiate ; correction effectuée le 29 avril. Après examen par les experts sécurité d’AVG, les autres éléments incriminés par ce rapport ne nécessitent pas de correction immédiate.

Si nécessaire, ces éléments feront l’objet, dans un futur proche, d’une mise à jour dans le cadre du programme AVG de maintenance des produits.

AVG est une entreprise de sécurité en ligne auprès de 187 millions d’utilisateurs actifs qui fournissent en continu des informations et évaluations sur les produits et échangent des conseils avec d’autres clients. Pour AVG, le partage des connaissances et la collaboration sont extrêmement importants dans le domaine de la sécurité en ligne et c’est pour ces raisons que l’entreprise tient compte des avis et analyses des cabinets de conseil indépendants, des experts et des clients.