LSE deckt Schwachstelle Avira AntiVir Engine auf

Während eines Penetrationstests entdeckten die LSE Sicherheitsexperten Markus Vervier und Eric Sesterhenn das auffällige Verhalten der Avira Scan Engine und unterzogen dieses sogleich einer gründlichen Untersuchung. Dabei ergab es sich, dass die Avira AntiVir Scanning Engine durch speziell präparierte pdf-Dokumente in eine Endlosschleife geschickt werden kann, so dass Denial of Service-Angriffe möglich sind.

Dabei versetzt der Angreifer die AntiVirus Engine in einen Wartezustand und verhindert, dass schädliche Dateien entdeckt werden. Zusätzlich besteht die Möglichkeit, dass der Angreifer die AV-Engine alle verfügbaren Ressourcen des befallenen Systems belegen lässt. Bei Firmenkonstellationen mit beispielsweise Mailgateways kann so eine wirksame DoS-Attacke auf das Gesamtsystem durchgeführt werden.

Der Hersteller Avira wurde umgehend verständigt und hat bereits wenige Tage später einen Fix bereit gestellt. Es wird daher dringend empfohlen, die Herstellerupdates einzuspielen.

Betroffene Versionen

  • Avira AntiVir Engine < 8.2.12.58

Betroffene Produkte:

  • Avira Server Security
  • Avira AntiVir MailGate
  • Avira AntiVir MailGate Suite
  • Avira Exchange Security
  • Avira AntiVir WebGate
  • Avira AntiVir WebGate Suite
  • Avira AntiVir SharePoint
  • Avira Professional Security
  • Avira AntiVir Personal
  • Avira Savapi

Weitere Informationen können Sie dem von LSE bereitgestellten Security-Advisory entnehmen

LSE discovers vulnerability in Avira’s AntiVir Engine

While conducting a penetration test on a customer system LSE Leading Security Experts’ employees Markus Vervier and Eric Sesterhenn discovered a Denial of Service vulnerability and possible memory corruption in the Avira AntiVir Engine. By scanning specially crafted PDF documents, a bug can be triggered which causes an endless loop in the scanning engine.

This allows an attacker to stall the antivirus engine and prevent malicious files from being detected. Additionally an attacker may be able to cause the antivirus engine to consume all available resources on the system. In case of enterprise setups like for example mailgateways an effective Denial of Service attack can be launched on the whole system.

Avira has been informed immediately and released a fix a few days after. LSE therefore advises to install the latest updates via the update functionality.

Affected Versions

  • Avira AntiVir Engine < 8.2.12.58

Affected Products

  • Avira Server Security
  • Avira AntiVir MailGate
  • Avira AntiVir MailGate Suite
  • Avira Exchange Security
  • Avira AntiVir WebGate
  • Avira AntiVir WebGate Suite
  • Avira AntiVir SharePoint
  • Avira Professional Security
  • Avira AntiVir Personal
  • Avira Savapi

Read more in the corresponding Security-Advisory