Xakep #305. Многошаговые SQL-инъекции
Специалисты SentinelOne обнаружили две уязвимости в антивирусах Avast и AVG, связанные с общим для них драйвером защиты от руткитов (aswArPot.sys). Уязвимости появились в коде с релизом Avast 12.1, в далеком 2012 году и все это время оставались незамеченными.
Баги были обнаружены в декабре 2021 года, получили идентификаторы CVE-2022-26522 и CVE-2022-26523, и затрагивают антивирусы Avast и AVG. Так как Avast приобрела AVG в 2016 году, проблемы оказались связаны с общим драйвером защиты от руткитов. В настоящее время уязвимости уже устранены: их исправили еще в феврале 2022 года с выпуском версии 22.1.
Эксперты SentinelOne рассказывают, что уязвимостям был присвоен «высокий уровень серьезности», так как они позволяли злоумышленнику с ограниченными привилегиями в системе выполнить код в режиме ядра и в итоге получить полный контроль над устройством.
«Характер этих уязвимостей таков, что они могут запускаться из песочниц и использоваться в контексте, отличном от простого локального повышения привилегий. Например, уязвимости могут быть использованы на втором этапе браузерной атаки или для побега из песочницы. Среди очевидных злоупотреблений такими проблемами — обход защитных решений, — пишут исследователи. — Данные уязвимости позволяют злоумышленникам повышать привилегии, отключать продукты безопасности, перезаписывать системные компоненты, повреждать операционную систему или беспрепятственно выполнять вредоносные операции».
У экспертов нет никаких доказательств того, что этими уязвимостями злоупотребляли хакеры, но примечателен тот факт, что информация о багах была опубликовала всего через несколько дней после того, как Trend Micro подробно описала малварь AvosLocker, которая использовала в своих атаках другую проблему в том же самом драйвере для отключения антивирусных продуктов.