Trend Micro антивирус Avast Avira уязвимость повышение привилегий SentinelOne
Уязвимости позволяют локальному пользователю повысить привилегии на системе.
Две с уязвимости в системах безопасности были обнаружены спустя много лет в легитимном драйвере , входящем в состав антивирусных решений Avast и AVG.
"Уязвимости позволяют локальному пользователю повышать привилегии, что дает возможность отключать системы безопасности, перезаписывать системные компоненты, повреждать ОС или беспрепятственно выполнять вредоносные операции", – заявил специалист компании SentinelOne Касиф Декель.
CVE-2022-26522 и CVE-2022-26523 находятся в легитимном драйвере ядра антируткита под названием aswArPot.sys. По словам компании, уязвимости появились в Avast 12.1, вышедшем в июне 2016 года. Проблемы обнаружены в обработчике сокетных соединений в драйвере ядра и позволяли повысить привилегии путем запуска кода в ядре от непривилегированного пользователя. Вышеописанное действие могло вызвать аварийное завершение работы ОС и появление BSoD.
Из-за своего характера, уязвимости могли запускаться из песочниц и использоваться в контексте, отличном от локального повышения привилегий. Например, как часть браузерной атаки второго этапа или для побега из песочницы.
После раскрытия информации 20 декабря 2021 года Avast устранила уязвимости в версии антивируса 22.1, выпущенной 8 февраля 2022 года. "Драйвер руткита был исправлен”, – сообщила компания.
Несмотря на отсутствие доказательств использования этих уязвимостей в дикой природе, Avast рассказали про них всего через несколько дней после того, как компания Trend Micro подробно описала атаку программы-вымогателя от AvosLocker, использующую другой недостаток в том же драйвере для отключения защиты на взломанной системе.
SECURITYLAB.RU