Ремонт, сервис, услуги » Информация » В антивирусах Avast и AVG нашли баги десятилетней давности




В антивирусах Avast и AVG нашли баги десятилетней давности

Автор: addministr от 10-05-2022, 10:15

Категория: Информация



Специалисты SentinelOne заявили, что они обнаружили две серьёзные уязвимости в антивирусных продуктах Avast и AVG. Обе связаны с общим для них драйвером защиты от руткитов aswArPot.sys. Уязвимости появились ещё в коде с релизом Avast 12.1 в 2012 году, но всё это время оставались незамеченными.
В антивирусах Avast и AVG нашли баги десятилетней давности
Специалисты выявили баги в декабре 2021 года. Тогда они получили идентификаторы CVE-2022-26522 и CVE-2022-26523. В феврале уязвимости устранили с выпуском версии 22.1.
ProcessParameters->CommandLine.Length для выделения нового буфера (желтая стрелка) и копирует предоставленный пользователем буфер в PPEB->ProcessParameters->CommandLine.Buffer с размером PPEB->ProcessParameters->CommandLine.Length (оранжевая стрелка)" title="Функция сначала прикрепляет текущий поток к целевому процессу, а затем использует nt!PsGetProcessPeb для получения указателя на PEB текущего процесса (красная стрелка). Затем она извлекает (в первый раз) PPEB->ProcessParameters->CommandLine.Length для выделения нового буфера (желтая стрелка) и копирует предоставленный пользователем буфер в PPEB->ProcessParameters->CommandLine.Buffer с размером PPEB->ProcessParameters->CommandLine.Length (оранжевая стрелка)" width="1019" height="1120" data-src="https://habrastorage.org/getpro/habr/upload_files/729/7fe/d8c/7297fed8c986fbf3c9d6ce471cd40b5e.jpg" data-blurred="true"/>Функция сначала прикрепляет текущий поток к целевому процессу, а затем использует nt!PsGetProcessPeb для получения указателя на PEB текущего процесса (красная стрелка). Затем она извлекает (в первый раз) PPEB->ProcessParameters->CommandLine.Length для выделения нового буфера (желтая стрелка) и копирует предоставленный пользователем буфер в PPEB->ProcessParameters->CommandLine.Buffer с размером PPEB->ProcessParameters->CommandLine.Length (оранжевая стрелка)В SentinelOne присвоили уязвимостям «высокий уровень серьезности»: они позволяли злоумышленнику с ограниченными привилегиями в системе выполнить код в режиме ядра и в итоге получить полный контроль над устройством.«Характер этих уязвимостей таков, что они могут запускаться из песочниц и использоваться в контексте, отличном от простого локального повышения привилегий. Например, уязвимости могут быть использованы на втором этапе браузерной атаки или для побега из песочницы. Среди очевидных злоупотреблений такими проблемами — обход защитных решений», — отмечают исследователи.По их словам, баги можно использовать, чтобы отключать продукты безопасности, перезаписывать системные компоненты, повреждать операционную систему или беспрепятственно выполнять вредоносные операции.Пока у экспертов нет никаких доказательств того, что уязвимости использовались на практике.Avast купила AVG в 2016 году. Их антивирусы являются популярными по всему миру, поэтому уязвимости потенциально могли затрагивать миллионы пользователей. Между тем Trend Micro подробно описала вымогатель AvosLocker, который использовал в своих атаках другую проблему в том же самом драйвере для отключения антивирусных продуктов. AvosLocker впервые обнаружили в июле 2021 года. За прошедшие несколько месяцев у него появилось несколько новых вариантов.

 

Источник: https://habr.com/ru/news/t/664974/





Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Архив | Связь с админом | Конфиденциальность

RSS канал новостей     Яндекс.Метрика