Les chercheurs en sécurité de SentinalLabs (SentinelOne) divulguent deux vulnérabilités découvertes dans le driver Avast Anti Rootkit identifié en tant que aswArPot.sys et utilisé avec les antivirus Avast et AVG.
Rappelons que Avast est tombé dans le giron d’AVG en 2016 dans le cadre d’une transaction de l’ordre de 1,3 milliard de dollars. Par ailleurs, NortonLifeLock avait annoncé en 2021 un accord de fusion à plus de 8 milliards de dollars avec Avast qui devrait être finalisé dans le courant de cette année.
Présentées comme des failles de sécurité avec un niveau de dangerosité élevé, elles auraient été introduites dans la version 12.1 d’Avast publiée en juin 2016. Sous les radars pendant plusieurs années, elles auraient ainsi concerné des » dizaines de millions d’utilisateurs. «
Après une divulgation responsable en décembre 2021, ces vulnérabilités CVE-2022-26522 et CVE-2022-26523 ont été corrigées en début d’année via une version 22.1 d’Avast.
Selon SentinelLabs, les vulnérabilités » permettent aux attaquants d’élever leurs privilèges, de désactiver des produits de sécurité, d’écraser des composants du système, de corrompre le système d’exploitation ou d’effectuer des opérations malveillantes sans entrave. » Aucune exploitation active dans la nature n’a toutefois été rapportée.
La Coordinated Vulnerability Disclosure mise en avant
SentinelLabs détaille en particulier un problème en lien avec un gestionnaire de connexion (socket) dans le pilote en mode noyau. Il peut conduire à une élévation de privilèges en exécutant du code dans le noyau depuis un utilisateur non-administrateur. Une conséquence serait un plantage du système d’exploitation.
» En raison de la nature de ces vulnérabilités, elles peuvent être déclenchées depuis un environnement de sandbox et pourraient être exploitables dans des contextes autres que la simple élévation de privilèges locaux « , ajoute SentinelLabs.
Dans une réaction, Avast dit soutenir activement le processus coordonné de divulgation des vulnérabilités et apprécie le travail mené en ce sens avec SentinelOne. » Les utilisateurs d’Avast et AVG ont été automatiquement mis à jour et sont protégés contre tout risque d’exploitation. «