10 jaar oude kwetsbaarheden in Avast en AVG antivirus-oplossingen brengen miljoenen gebruikers in gevaar

Amsterdam, 5 mei 2022 – SentinelLabs, het threat research-team van SentinelOne, heeft twee zeer ernstige fouten ontdekt in Avast en AVG (overgenomen door Avast in 2016) die tien jaar lang onontdekt bleven en tientallen miljoenen gebruikers treffen.

Samenvatting

• Deze kwetsbaarheden stellen aanvallers in staat om bevoegdheden aan te passen, waardoor ze beveiligingsproducten kunnen uitschakelen, systeemcomponenten kunnen overschrijven, het besturingssysteem kunnen beschadigen of ongehinderd kwaadaardige operaties kunnen uitvoeren.
• De bevindingen van SentinelLabs werden in december 2021 proactief gerapporteerd aan Avast en de kwetsbaarheden zijn gemarkeerd als CVE-2022-26522 en CVE-2022-26523 (CVSS-score: high severity).
• Avast heeft stilletjes beveiligingsupdates uitgebracht om deze kwetsbaarheden aan te pakken.
• Op dit moment heeft SentinelLabs geen bewijs gevonden van misbruik.

Avast’s ‘Anti Rootkit’-driver (ook gebruikt door AVG) is kwetsbaar gebleken voor twee zeer ernstige aanvallen die mogelijk kunnen leiden tot het uitbreiden van de bevoegdheden, waardoor een gebruiker die geen beheerder is code in de kernel kan uitvoeren. Avast en AVG zijn veelgebruikte antivirusprogramma’s en deze fouten hebben mogelijk veel gebruikers wereldwijd kwetsbaar gemaakt voor cyberaanvallen.

Beveiligingsproducten hebben doorgaans het hoogste niveau van privileges en zijn daarom zeer aantrekkelijk voor aanvallers. Dit soort kwetsbaarheden vormen een kritiek risico voor organisaties en gebruikers van de getroffen software en het is van vitaal belang dat zij passende maatregelen nemen om de schade te beperken.

Volgens Avast is de kwetsbare functie geïntroduceerd in Avast 12.1, dat in januari 2012 werd uitgebracht. Gezien de lange levensduur van deze fout, schat SentinelOne dat tientallen miljoenen gebruikers mogelijk zijn getroffen.

Gevolgen
Vanwege de aard van deze kwetsbaarheden kunnen ze worden geactiveerd vanuit sandboxes en worden misbruikt in andere contexten dan alleen lokale escalatie van bevoegdheden. De kwetsbaarheden kunnen bijvoorbeeld worden misbruikt als onderdeel van een second stage-browseraanval of om een sandbox-escape uit te voeren, en meer.

Deze kritieke kwetsbaarheden maken potentieel volledige overname van een apparaat mogelijk, zelfs zonder privileges, vanwege de mogelijkheid om code uit te voeren in de kernelmodus. Een van de voor de hand liggende vormen van misbruik van dergelijke kwetsbaarheden is dat ze kunnen worden gebruikt om beveiligingsproducten te omzeilen.

Patch
Avast heeft stilletjes beveiligingsupdates uitgebracht om deze kwetsbaarheden aan te pakken. De meeste Avast- en AVG-gebruikers ontvangen de patch (versie 22.1) automatisch; degenen die air gapped of on-premises installaties gebruiken, wordt echter geadviseerd om de patch zo snel mogelijk handmatig toe te passen.

Voor meer (technische) details, ga naar dit blog: https://s1.ai/avast

Over SentinelOne

SentinelOne levert autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporingsfunctionaliteit combineert. Het SentinelOne platform is ontwikkeld met het oog op zeer hoog gebruiksgemak en bespaart gebruikers tijd dankzij de inzet van AI om automatisch en in realtime dreigingen binnen het bedrijf en in de cloud te elimineren. Daarnaast is het de enige oplossing die volledig inzicht biedt van edge tot cloud over het hele netwerk. Kijk voor meer informatie op www.sentinelone.com en op @SentinelOne, LinkedIn en Facebook.