« Un vétéran s’enfuit d… | Accueil | Maria kart 1.0 »

Une faille très drôle dans la Console Admin d’AVG

Mardi 10 juin 2014 à 13:28. Mots clés utilisés: ,

Si vous gérez sur votre parc machine, l'antivirus AVG via la console AVG sachez qu'une bonne grosse faille de n00b vient d'y être découverte par la société SEC Consult.

Lors du processus d'authentification, la vérification des identifiants se fait tout simplement au niveau du client lourd et non pas du serveur. La console d'admin AVG récupère à partir du serveur la liste des noms d'utilisateurs et les mots de passe hashés correspondant pour faire la vérification.

Du coup, il suffit de patcher le binaire pour qu'il réponde toujours OK lorsqu'on entre n'importe quel mot de passe et HOP, l'attaquant aura alors un accès administrateur complet au serveur d'administration AVG.

Démonstration :

Visit this page on YouTube.

Vidéo Youtube "exiLSy1oo3I".

( Source )

12345678910
0/10 (0 vote(s))

Pas de commentaires



(optional field)
(optional field)
Retenir les informations personnelles ?
Précision : Toutes les balises HTML sauf <b> et <i> seront supprimées de votre commentaire. Vous pouvez créer des liens juste en entrant l'URL ou l'adresse email.