SentinelOne ontdekte twee ernstige zero day-kwetsbaarheden in Avast en AVG. De dreigingen waren tien jaar lang onontdekt.

De kwetsbaarheden stellen aanvallers in staat om machtigingen te wijzigen. Vandaaruit zijn securitytools uit te schakelen. Onderzoekers van SentinelOne deelden de kwetsbaarheden in december 2021 met Avast, het moederbedrijf van AVG. Avast bracht in februari 2022 stilletjes beveiligingsupdates uit. De meeste gebruikers ontvangen de update automatisch. Draai je Avast of AVG in een air gapped- of on-premises-omgeving, dan is het zaak om zo snel mogelijk naar versie 22.1 of later te updaten.

De kwetsbaarheden zijn gekenmerkt als CVE-2022-26522 en CVE-2022-26523. Beide kwetsbaarheden ontvingen een ernstige CVSS-score. De problemen komen voort uit dezelfde driver, waarover later meer. De driver wordt sinds 2012 in de antivirussoftware van Avast meegeleverd. SentinelOne speculeert dat miljoenen gebruikers met de kwetsbaarheid in aanraking kwamen. Er is geen bewijs dat de kwetsbaarheid door cybercriminelen is misbruikt.

RootKit driver in Avast en AVG

Een function in de RootKit driver maakt het mogelijk om systemen te crashen en code in de kernel uit te voeren. Antivirussoftware is altijd gemachtigd op het hoogste niveau. Door code in de kernel uit te voeren kan een aanvaller zichzelf machtigen, ook wel bekend als privilege escalation. In 2021 vond SentinelOne meerdere privilege escalation-kwetsbaarheden in apparaten van HP en Dell. Dergelijke kwetsbaarheden zijn bijzonder ernstig omdat lokale toegang genoeg is voor de overname van een volledig systeem.

Sandbox escapes

Naast privilege escalation vermoedt SentinelOne dat de Avast en AVG misbruikt kunnen worden voor sandbox escapes. Sandboxes zijn afgezonderde omgevingen op eenzelfde systeem. Windows-gebruikersaccounts zijn een veelvoorkomend voorbeeld. Heeft een pc twee gebruikersaccounts, dan horen applicaties op de ene account geen invloed te hebben op de andere.

Een kwetsbare applicatie schudt de boel op. Door Avast of AVG in een sandbox op te starten en te misbruiken komen de gegevens van een andere sandbox in handbereik. Heeft een cybercrimineel toegang tot een apparaat, maar niet tot de juiste account, dan kunnen Avast en AVG misbruikt worden om een account naar keuze te kraken.

Tip: SentinelLabs vindt NetUSB-kwetsbaarheid in miljoenen routers