Twee zeer ernstige beveiligingsproblemen, die jarenlang onopgemerkt bleven, zijn ontdekt in een legitieme bestuurder dat maakt deel uit van de antivirusoplossingen van Avast en AVG.
“Deze kwetsbaarheden stellen aanvallers in staat om privileges te verhogen, waardoor ze beveiligingsproducten kunnen uitschakelen, systeemcomponenten kunnen overschrijven, het besturingssysteem kunnen beschadigen of ongehinderd kwaadaardige operaties kunnen uitvoeren”, onderzoeker Kasif Dekel van SentinelOne. zei in een rapport gedeeld met The Hacker News.
Bijgehouden als CVE-2022-26522 en CVE-2022-26523, zitten de fouten in een legitiem anti-rootkit-kernelstuurprogramma met de naam aswArPot.sys en zou zijn geïntroduceerd in Avast-versie 12.1, die in juni 2016 werd uitgebracht.
De tekortkomingen zijn met name geworteld in een socketverbindingshandler in de kerneldriver die zou kunnen leiden tot escalatie van bevoegdheden door code in de kernel uit te voeren van een niet-beheerdersgebruiker, waardoor het besturingssysteem mogelijk crasht en een blauw scherm van de dood wordt weergegeven (BSoD) fout.
Verontrustend is dat de fouten ook kunnen worden misbruikt als onderdeel van een browseraanval in de tweede fase of om een sandbox-ontsnapping uit te voeren, wat tot verstrekkende gevolgen kan leiden.
Na verantwoorde bekendmaking op 20 december 2021 heeft Avast de problemen opgelost in versie 22.1 van de software die op 8 februari 2022 werd uitgebracht. zei in de release-opmerkingen.
Hoewel er geen bewijs is dat deze fouten in het wild zijn misbruikt, komt de onthulling slechts enkele dagen nadat Trend Micro een AvosLocker-ransomware-aanval had beschreven die gebruikmaakte van een ander probleem in dezelfde driver om antivirusoplossingen op het aangetaste systeem te beëindigen.
