Si vous gérez sur votre parc machine, l'antivirus AVG via la console AVG sachez qu'une bonne grosse faille de n00b vient d'y être découverte par la société SEC Consult.
Lors du processus d'authentification, la vérification des identifiants se fait tout simplement au niveau du client lourd et non pas du serveur. La console d'admin AVG récupère à partir du serveur la liste des noms d'utilisateurs et les mots de passe hashés correspondant pour faire la vérification.
Du coup, il suffit de patcher le binaire pour qu'il réponde toujours OK lorsqu'on entre n'importe quel mot de passe et HOP, l'attaquant aura alors un accès administrateur complet au serveur d'administration AVG.
Démonstration :
TROP MARRANT !
Cet article merveilleux et sans aucun égal intitulé : Une faille très drôle dans la Console Admin d’AVG ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.
by via MyTFMRSS
No comments:
Post a Comment