Bezpečnostní výskumníci z tímu SAFA odhalili štyri zraniteľné miesta pretečenia haldy jadra v Avast Antivirus, pričom všetky sú vysledované k ovládaču jadra aswSnx.
Chyby, ktoré sú teraz spoločne sledované ako CVE-2025-13032, by mohli umožniť miestnemu útočníkovi postúpiť privilégiá na SYSTEM v systéme Windows 11, ak budú úspešne zneužité.
Výskum sa zameral na implementáciu sandboxu Avastu, čo je komponent určený na izoláciu nedôveryhodných procesov.
Chyba zabezpečenia Avast Sandbox Escape
Aby sa tím dostal k zraniteľným kódovým cestám, musel najprv pochopiť a manipulovať s vlastným profilom sandbox spoločnosti Avast.
Keďže najkritickejšie obslužné nástroje IOCTL v aswSnx sú prístupné iba procesom v sandboxe, nie bežným užívateľským procesom.
Analýzou ovládačov jadra Avastu a rozhraní IOCTL výskumníci identifikovali aswSnx ako najsľubnejší cieľ vďaka veľkému počtu používateľsky prístupných ovládačov IOCTL.
V rámci týchto obslužných programov SAFA zistila niekoľko prípadov, kedy sa v priestore jadra nesprávne zaobchádzalo s používateľmi riadenými údajmi z používateľského priestoru.
Najmä viaceré podmienky „dvojitého načítania“ umožnili zmeniť dĺžku reťazcov dodaných používateľom medzi operáciami overovania, prideľovania a kopírovania, čo viedlo k riadenému pretečeniu haldy jadra.
Medzi ďalšie problémy patrilo nebezpečné používanie funkcií reťazcov a chýbajúce overenie ukazovateľa, ktoré by sa dalo zneužiť na lokálne útoky odmietnutia služby.
Celkovo tím ohlásil štyri chyby zabezpečenia pretečenia haldy jadra a dva problémy s lokálnym systémom DoS ovplyvňujúce Avast 25.2.9898.0 a potenciálne ďalšie produkty Gendigital, ktoré zdieľajú rovnaký kód ovládača.
Využitie týchto chýb si vyžadovalo najprv registráciu procesu kontrolovaného útočníkom do karantény Avast prostredníctvom špecifického IOCTL, ktorý aktualizuje konfiguráciu karantény.
Keď sa útočník dostane do karantény, môže spustiť zraniteľné IOCTL a dosiahnuť lokálnu eskaláciu privilégií na SYSTEM. Avast rýchlo zareagoval a vydal záplaty, ktoré opravili vzory dvojitého načítania.
Presadzujte správnu kontrolu hraníc operácií s reťazcami a pridajte chýbajúce kontroly platnosti pred dereferencovaním používateľských ukazovateľov.
Podľa časovej osi, ktorú zdieľa SAFA, bola väčšina zraniteľností opravená do 12 dní od počiatočného prijatia, pričom CVE-2025-13032 bola oficiálne zverejnená 11. novembra 2025.
Tím SAFA tvrdí, že tieto zistenia dokazujú, že v široko používaných bezpečnostných nástrojoch možno stále odhaliť vážne chyby jadra prostredníctvom starostlivých manuálnych kontrol a inovatívnych techník.
Sledujte nás na Google News, LinkedIn a X a získajte denné aktualizácie kybernetickej bezpečnosti. Kontaktujte nás a predstavte svoje príbehy.
