Oude kwetsbaarheden in antivirus-oplossingen Avast en AVG ontdekt

SentinelLabs, het threat research-team van SentinelOne, stelt dat het twee zeer ernstige fouten heeft ontdekt in Avast en AVG (overgenomen door Avast in 2016). De kwetsbaarheden bleven tien jaar lang onontdekt en potentieel tientallen miljoenen gebruikers kunnen treffen. Tot nu toe heeft SentinelLabs geen bewijs gevonden van misbruik.

De kwetsbaarheden stellen aanvallers in staat om bevoegdheden aan te passen, zodat ze beveiligingsproducten kunnen uitschakelen, systeemcomponenten kunnen overschrijven, het besturingssysteem kunnen beschadigen of ongehinderd kwaadaardige operaties kunnen uitvoeren.

Beveiligingsupdates uitgebracht

De bevindingen van SentinelLabs werden al in december 2021 proactief gerapporteerd aan Avast en de kwetsbaarheden zijn gemarkeerd als CVE-2022-26522 en CVE-2022-26523 (CVSS-score: high severity). Avast heeft in stilte beveiligingsupdates uitgebracht om deze kwetsbaarheden aan te pakken.

Avast's 'Anti Rootkit'-driver (ook gebruikt door AVG) is kwetsbaar voor twee zeer ernstige aanvallen die mogelijk kunnen leiden tot het uitbreiden van de bevoegdheden, waardoor een gebruiker die geen beheerder is code in de kernel kan uitvoeren. Avast en AVG zijn veelgebruikte antivirusprogramma's en beide fouten hebben mogelijk veel gebruikers wereldwijd kwetsbaar gemaakt voor cyberaanvallen.

Beveiligingsproducten hebben doorgaans het hoogste niveau van privileges en zijn daarom zeer aantrekkelijk voor aanvallers. Dit soort kwetsbaarheden vormen een kritiek risico voor organisaties en gebruikers van de getroffen software en het is van vitaal belang dat zij passende maatregelen nemen om de schade te beperken.

Veel gebruikers mogelijk getroffen

Volgens Avast is de kwetsbare functie geïntroduceerd in Avast 12.1 (in januari 2012 uitgebracht). Gezien de lange levensduur van deze fout, schat SentinelOne dat tientallen miljoenen gebruikers mogelijk zijn getroffen.

Vanwege de aard van deze kwetsbaarheden kunnen ze worden geactiveerd vanuit sandboxes en worden misbruikt in andere contexten dan alleen lokale escalatie van bevoegdheden. De kwetsbaarheden kunnen bijvoorbeeld worden misbruikt als onderdeel van een second stage-browseraanval of om een sandbox-escape uit te voeren.

Potentieel volledige overname

Deze kritieke kwetsbaarheden maken potentieel volledige overname van een apparaat mogelijk, zelfs zonder privileges, vanwege de mogelijkheid om code uit te voeren in de kernelmodus. Een van de voor de hand liggende vormen van misbruik van dergelijke kwetsbaarheden is volgens SentinelLabs dat ze kunnen worden gebruikt om beveiligingsproducten te omzeilen.

Avast heeft zoals aangegeven beveiligingsupdates uitgebracht om deze kwetsbaarheden aan te pakken. De meeste Avast- en AVG-gebruikers ontvangen de patch (versie 22.1) automatisch. Zij die air gapped of on-premises installaties gebruiken, krijgen het advies om de patch zo snel mogelijk handmatig toe te passen.

SentinelLabs geeft meer technische details in deze blog.