Как стать автором
Обновить

В антивирусах Avast и AVG нашли баги десятилетней давности

Информационная безопасность *Антивирусная защита *

Специалисты SentinelOne заявили, что они обнаружили две серьёзные уязвимости в антивирусных продуктах Avast и AVG. Обе связаны с общим для них драйвером защиты от руткитов aswArPot.sys. Уязвимости появились ещё в коде с релизом Avast 12.1 в 2012 году, но всё это время оставались незамеченными.

Специалисты выявили баги в декабре 2021 года. Тогда они получили идентификаторы CVE-2022-26522 и CVE-2022-26523. В феврале уязвимости устранили с выпуском версии 22.1.

Функция сначала прикрепляет текущий поток к целевому процессу, а затем использует nt!PsGetProcessPeb для получения указателя на PEB текущего процесса (красная стрелка). Затем она извлекает (в первый раз) PPEB->ProcessParameters->CommandLine.Length для выделения нового буфера (желтая стрелка) и копирует предоставленный пользователем буфер в PPEB->ProcessParameters->CommandLine.Buffer с размером PPEB->ProcessParameters->CommandLine.Length (оранжевая стрелка)
Функция сначала прикрепляет текущий поток к целевому процессу, а затем использует nt!PsGetProcessPeb для получения указателя на PEB текущего процесса (красная стрелка). Затем она извлекает (в первый раз) PPEB->ProcessParameters->CommandLine.Length для выделения нового буфера (желтая стрелка) и копирует предоставленный пользователем буфер в PPEB->ProcessParameters->CommandLine.Buffer с размером PPEB->ProcessParameters->CommandLine.Length (оранжевая стрелка)

В SentinelOne присвоили уязвимостям «высокий уровень серьезности»: они позволяли злоумышленнику с ограниченными привилегиями в системе выполнить код в режиме ядра и в итоге получить полный контроль над устройством.

«Характер этих уязвимостей таков, что они могут запускаться из песочниц и использоваться в контексте, отличном от простого локального повышения привилегий. Например, уязвимости могут быть использованы на втором этапе браузерной атаки или для побега из песочницы. Среди очевидных злоупотреблений такими проблемами — обход защитных решений», — отмечают исследователи. По их словам, баги можно использовать, чтобы отключать продукты безопасности, перезаписывать системные компоненты, повреждать операционную систему или беспрепятственно выполнять вредоносные операции.

Пока у экспертов нет никаких доказательств того, что уязвимости использовались на практике.

Avast купила AVG в 2016 году. Их антивирусы являются популярными по всему миру, поэтому уязвимости потенциально могли затрагивать миллионы пользователей. 

Между тем Trend Micro подробно описала вымогатель AvosLocker, который использовал в своих атаках другую проблему в том же самом драйвере для отключения антивирусных продуктов. AvosLocker впервые обнаружили в июле 2021 года. За прошедшие несколько месяцев у него появилось несколько новых вариантов.

Теги:
Хабы:
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 2.9K
Комментарии Комментарии 1