В антивирусах Avast и AVG нашли баги десятилетней давности10.05.2022 10:47

Специалисты SentinelOne заявили, что они обнаружили две серьёзные уязвимости в антивирусных продуктах Avast и AVG. Обе связаны с общим для них драйвером защиты от руткитов aswArPot.sys. Уязвимости появились ещё в коде с релизом Avast 12.1 в 2012 году, но всё это время оставались незамеченными.

600d6dff4df0be18f2a2135d7869da5f.jpg

Специалисты выявили баги в декабре 2021 года. Тогда они получили идентификаторы CVE-2022–26522 и CVE-2022–26523. В феврале уязвимости устранили с выпуском версии 22.1.

Функция сначала прикрепляет текущий поток к целевому процессу, а затем использует nt!PsGetProcessPeb для получения указателя на PEB текущего процесса (красная стрелка). Затем она извлекает (в первый раз) PPEB->ProcessParameters→CommandLine.Length для выделения нового буфера (желтая стрелка) и копирует предоставленный пользователем буфер в PPEB→ProcessParameters→CommandLine.Buffer с размером PPEB→ProcessParameters→CommandLine.Length (оранжевая стрелка)» />Функция сначала прикрепляет текущий поток к целевому процессу, а затем использует nt! PsGetProcessPeb для получения указателя на PEB текущего процесса (красная стрелка). Затем она извлекает (в первый раз) PPEB→ProcessParameters→CommandLine.Length для выделения нового буфера (желтая стрелка) и копирует предоставленный пользователем буфер в PPEB→ProcessParameters→CommandLine.Buffer с размером PPEB→ProcessParameters→CommandLine.Length (оранжевая стрелка)</p> <p>В SentinelOne присвоили уязвимостям «высокий уровень серьезности»: они позволяли злоумышленнику с ограниченными привилегиями в системе выполнить код в режиме ядра и в итоге получить полный контроль над устройством.</p> <p>«Характер этих уязвимостей таков, что они могут запускаться из песочниц и использоваться в контексте, отличном от простого локального повышения привилегий. Например, уязвимости могут быть использованы на втором этапе браузерной атаки или для побега из песочницы. Среди очевидных злоупотреблений такими проблемами — обход защитных решений», — отмечают исследователи.По их словам, баги можно использовать, чтобы отключать продукты безопасности, перезаписывать системные компоненты, повреждать операционную систему или беспрепятственно выполнять вредоносные операции.</p> <p>Пока у экспертов нет никаких доказательств того, что уязвимости использовались на практике.</p> <p>Avast купила AVG в 2016 году. Их антивирусы являются популярными по всему миру, поэтому уязвимости потенциально могли затрагивать миллионы пользователей. </p> <p>Между тем Trend Micro подробно описала вымогатель AvosLocker, который использовал в своих атаках другую проблему в том же самом драйвере для отключения антивирусных продуктов. AvosLocker впервые обнаружили в июле 2021 года. За прошедшие несколько месяцев у него появилось несколько новых вариантов.</p> <p class=© Habrahabr.ru