По мнению исследователей, эксплуатация уязвимостей может иметь «далеко идущие и значительные» последствия.
Во вторник, 3 мая 2022 года американская компания SentinelOne опубликовала бюллетень безопасности по уязвимостям CVE-2022-26522 и CVE-2022-26523.
Напомним, что Avast приобрел AVG в 2016 году за 1,3 миллиарда долларов. По данным SentinelOne уязвимости существуют с 2012 года, и, следовательно, могли затронуть «десятки миллионов пользователей по всему миру».
Уязвимости CVE-2022-26522 и CVE-2022-26523 были обнаружены в драйвере Avast Anti Rootkit, представленном в январе 2012 года, который также применяется в AVG. CVE-2022-26522 присутствует в обработчике подключения к сокету, который используется драйвером ядра aswArPot.sys, и во время рутинных операций злоумышленник мог перехватить переменную для повышения привилегий.
Продукты безопасности должны работать с высокими уровнями привилегий, поэтому злоумышленники с случае успешной эксплуатации потенциально могут отключить решения безопасности, внести изменения в целевую операционную систему или выполнить другие вредоносные действия.
Вторая уязвимость, CVE-2022-26523, описываемая как «очень похожая» на CVE-2022-26522, присутствует в функции aswArPot+0xc4a3.
В SentinelLabs сообщили:
Особенностью данных уязвимостей является то, что они могут запускаться из «песочниц» и могут использоваться не только в контексте простого повышения локальных привилегий. Например, уязвимости могут быть использованы как часть браузерной атаки на втором этапе или для выхода из песочницы.
SentinelLabs проинформировал Avast об уязвимостях 20 декабря 2021 года. К 4 января чешский вендор признал наличие проблем безопасности, а с выходом Avast v22.1 представил исправления этих уязвимостей.
Уязвимости были исправлены к 11 февраля. SentinelLabs заявила, что нет никаких доказательств активной эксплуатации уязвимостей в реальных условиях.
Пользователи должны получить необходимые обновления в автоматическом режиме — никакие дополнительные действия предпринимать не требуется.
В SentinelLabs добавили:
Пользователи и организации, которые не смогут установить исправления могут столкнуться с далеко идущими и значительными последствиями.
Мы бы хотели поблагодарить Avast за их подход к раскрытию информации и быстрое устранение уязвимостей.
Компания Avast сообщает:
Avast является активным участником скоординированного процесса выявления уязвимостей, и мы ценим, что компания SentinelOne сотрудничала с нами и предоставила подробный анализ выявленных уязвимостей. 20 декабря 2021 года SentinelOne сообщил о двух уязвимостях, которые теперь отслеживаются как CVE-2022-26522 и CVE-2022-26523.
Мы подготовили исправление и выпустили его в версии 22.1 в феврале 2022 года, проинформировав SentinelOne об этом патче. Пользователи Avast и AVG были автоматически обновлены и защищены от любого риска эксплуатации, хотя мы не видели, чтобы уязвимости использовались в реальных атаках. Мы рекомендуем нашим пользователям Avast и AVG постоянно обновлять свое программное обеспечение до последней версии, чтобы обеспечить наилучшую защиту. Скоординированное раскрытие информации — отличный способ предотвратить проявление рисков в виде атак, и мы приветствуем участие в нашей программе вознаграждений за обнаружение ошибок.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России