▷ Decenniumgamla buggar upptäckta i Avast, AVGs antivirusprogram

Forskare har avslöjat två allvarliga sårbarheter i Avast- och AVG-antivirusprodukter som har förblivit oupptäckta i tio år.

På torsdagen publicerade SentinelOne en säkerhetsrådgivning om bristerna, spårad som CVE-2022-26522 och CVE-2022-26523.

Avast förvärvade AVG 2016 för 1,3 miljarder dollar. Enligt cybersäkerhetsföretaget har sårbarheterna funnits sedan 2012 och kunde därför ha påverkat “dussintals miljoner användare över hela världen.”

CVE-2022-26522 och CVE-2022-26523 hittades i Avast Anti Rootkit-drivrutinen, som introducerades i januari 2012 och även användes av AVG. Den första sårbarheten fanns i en socket-anslutningshanterare som användes av kärndrivrutinen aswArPot.sys, och under rutinoperationer kunde en angripare kapa en variabel för att eskalera privilegier.

Säkerhetsprodukter måste köras med höga behörighetsnivåer, och därför kan angripare som kan utnyttja denna brist potentiellt inaktivera säkerhetslösningar, manipulera ett måloperativsystem eller utföra andra skadliga åtgärder.

Den andra sårbarheten, CVE-2022-26523, beskrivs som “mycket lik” CVE-2022-26522 och fanns i funktionen aswArPot+0xc4a3.

“På grund av dessa sårbarheters natur kan de utlösas från sandlådor och kan vara exploaterbara i andra sammanhang än bara eskalering av lokala rättigheter,” sa SentinelLabs. “Till exempel kan sårbarheterna utnyttjas som en del av en webbläsarattack i andra steget eller för att utföra en sandlådeescape, bland andra möjligheter.”

SentinelLabs rapporterade sårbarheterna till Avast den 20 december 2021. Den 4 januari hade leverantören av cybersäkerhetslösningar erkänt rapporten och släppt korrigeringar i Avast v.22.1 för att hantera sårbarheterna efter triage.

Sårbarheterna åtgärdades den 11 februari. SentinelLabs sa att det inte finns några bevis på aktivt utnyttjande i naturen.

Användare ska ha fått de nödvändiga uppdateringarna automatiskt och behöver inte vidta ytterligare åtgärder.

“Inverkan detta kan ha på användare och företag som misslyckas med att korrigera är långtgående och betydande”, tillade företaget. “Vi vill tacka Avast för deras inställning till vårt avslöjande och för att de snabbt åtgärdade sårbarheterna.”

Avast sa till ZDNet:

“Avast är en aktiv deltagare i den samordnade processen för avslöjande av sårbarheter, och vi uppskattar att SentinelOne har arbetat med oss och tillhandahållit en detaljerad analys av de identifierade sårbarheterna. SentinelOne rapporterade två sårbarheter, nu spårade som CVE-2022-26522 och CVE-2022- 26523, till oss den 20 december 2021.

Vi arbetade på en korrigering som släpptes i version 22.1 i februari 2022 och meddelade SentinelOne om denna tillämpade korrigering. Avast- och AVG-användare uppdaterades automatiskt och är skyddade mot alla risker för utnyttjande, även om vi inte har sett sårbarheterna missbrukas i det vilda. Vi rekommenderar att våra Avast- och AVG-användare ständigt uppdaterar sin programvara till den senaste versionen för att skyddas. Samordnat avslöjande är ett utmärkt sätt att förhindra att risker manifesterar sig i attacker, och vi uppmuntrar deltagande i vårt bug-bounty-program.”