Специалисты SentinelOne заявили, что они обнаружили две серьёзные уязвимости в антивирусных продуктах Avast и AVG. Обе связаны с общим для них драйвером защиты от руткитов aswArPot.sys. Уязвимости появились ещё в коде с релизом Avast 12.1 в 2012 году, но всё это время оставались незамеченными.
Специалисты выявили баги в декабре 2021 года. Тогда они получили идентификаторы CVE-2022-26522 и CVE-2022-26523. В феврале уязвимости устранили с выпуском версии 22.1.
В SentinelOne присвоили уязвимостям «высокий уровень серьезности»: они позволяли злоумышленнику с ограниченными привилегиями в системе выполнить код в режиме ядра и в итоге получить полный контроль над устройством.
«Характер этих уязвимостей таков, что они могут запускаться из песочниц и использоваться в контексте, отличном от простого локального повышения привилегий. Например, уязвимости могут быть использованы на втором этапе браузерной атаки или для побега из песочницы. Среди очевидных злоупотреблений такими проблемами — обход защитных решений», — отмечают исследователи. По их словам, баги можно использовать, чтобы отключать продукты безопасности, перезаписывать системные компоненты, повреждать операционную систему или беспрепятственно выполнять вредоносные операции.
Пока у экспертов нет никаких доказательств того, что уязвимости использовались на практике.
Avast купила AVG в 2016 году. Их антивирусы являются популярными по всему миру, поэтому уязвимости потенциально могли затрагивать миллионы пользователей.
Между тем Trend Micro подробно описала вымогатель AvosLocker, который использовал в своих атаках другую проблему в том же самом драйвере для отключения антивирусных продуктов. AvosLocker впервые обнаружили в июле 2021 года. За прошедшие несколько месяцев у него появилось несколько новых вариантов.