Deze kwetsbaarheden stellen aanvallers in staat om bevoegdheden aan te passen, waardoor ze beveiligingsproducten kunnen uitschakelen, systeemcomponenten kunnen overschrijven, het besturingssysteem kunnen beschadigen of ongehinderd kwaadaardige operaties kunnen uitvoeren.
De bevindingen van SentinelLabs werden in december 2021 proactief gerapporteerd aan Avast en de kwetsbaarheden zijn gemarkeerd als CVE-2022-26522 en CVE-2022-26523 (CVSS-score: high severity).
Avast heeft stilletjes beveiligingsupdates uitgebracht om deze kwetsbaarheden aan te pakken.
Op dit moment heeft SentinelLabs geen bewijs gevonden van misbruik.
Avast’s ‘Anti Rootkit’-driver (ook gebruikt door AVG) is kwetsbaar gebleken voor twee zeer ernstige aanvallen die mogelijk kunnen leiden tot het uitbreiden van de bevoegdheden, waardoor een gebruiker die geen beheerder is code in de kernel kan uitvoeren. Avast en AVG zijn veelgebruikte antivirusprogramma’s en deze fouten hebben mogelijk veel gebruikers wereldwijd kwetsbaar gemaakt voor cyberaanvallen.
Beveiligingsproducten hebben doorgaans het hoogste niveau van privileges en zijn daarom zeer aantrekkelijk voor aanvallers. Dit soort kwetsbaarheden vormen een kritiek risico voor organisaties en gebruikers van de getroffen software en het is van vitaal belang dat zij passende maatregelen nemen om de schade te beperken.
Volgens Avast is de kwetsbare functie geïntroduceerd in Avast 12.1, dat in januari 2012 werd uitgebracht. Gezien de lange levensduur van deze fout, schat SentinelOne dat tientallen miljoenen gebruikers mogelijk zijn getroffen.
Gevolgen
Vanwege de aard van deze kwetsbaarheden kunnen ze worden geactiveerd vanuit sandboxes en worden misbruikt in andere contexten dan alleen lokale escalatie van bevoegdheden. De kwetsbaarheden kunnen bijvoorbeeld worden misbruikt als onderdeel van een second stage-browseraanval of om een sandbox-escape uit te voeren, en meer.
Deze kritieke kwetsbaarheden maken potentieel volledige overname van een apparaat mogelijk, zelfs zonder privileges, vanwege de mogelijkheid om code uit te voeren in de kernelmodus. Een van de voor de hand liggende vormen van misbruik van dergelijke kwetsbaarheden is dat ze kunnen worden gebruikt om beveiligingsproducten te omzeilen.
Patch
Avast heeft stilletjes beveiligingsupdates uitgebracht om deze kwetsbaarheden aan te pakken. De meeste Avast- en AVG-gebruikers ontvangen de patch (versie 22.1) automatisch; degenen die air gapped of on-premises installaties gebruiken, wordt echter geadviseerd om de patch zo snel mogelijk handmatig toe te passen.
