Ερευνητές ασφαλείας από την ομάδα SAFA ανακάλυψαν τέσσερα τρωτά σημεία υπερχείλισης σωρού πυρήνα στο Avast Antivirus, όλα εντοπισμένα στο πρόγραμμα οδήγησης πυρήνα aswSnx.
Τα ελαττώματα, τα οποία τώρα παρακολουθούνται συλλογικά ως CVE-2025-13032, θα μπορούσαν να επιτρέψουν σε έναν τοπικό εισβολέα να κλιμακώσει τα προνόμια του SYSTEM στα Windows 11, εάν γίνει επιτυχής εκμετάλλευση.
Η έρευνα επικεντρώθηκε στην εφαρμογή sandbox της Avast, ένα στοιχείο που έχει σχεδιαστεί για να απομονώνει μη αξιόπιστες διαδικασίες.
Avast Ευπάθεια διαφυγής Sandbox
Για να φτάσει στις ευάλωτες διαδρομές κώδικα, η ομάδα έπρεπε πρώτα να κατανοήσει και να χειριστεί το προσαρμοσμένο προφίλ sandbox της Avast.
Δεδομένου ότι οι πιο κρίσιμοι χειριστές IOCTL στο aswSnx είναι προσβάσιμοι μόνο σε διαδικασίες sandbox και όχι σε διαδικασίες κανονικού χρήστη.
Αναλύοντας τα προγράμματα οδήγησης πυρήνα και τις διεπαφές IOCTL της Avast, οι ερευνητές αναγνώρισαν το aswSnx ως τον πιο πολλά υποσχόμενο στόχο λόγω του μεγάλου αριθμού των χειριστών IOCTL προσβάσιμων από το χρήστη.
Μέσα σε αυτούς τους χειριστές, η SAFA βρήκε αρκετές περιπτώσεις όπου τα δεδομένα που ελέγχονται από τον χρήστη από το χώρο χρήστη δεν χειρίζονταν σωστά στο χώρο του πυρήνα.
Συγκεκριμένα, πολλαπλές συνθήκες «διπλής ανάκτησης» επέτρεψαν την αλλαγή του μήκους των συμβολοσειρών που παρέχονται από τον χρήστη μεταξύ των λειτουργιών επικύρωσης, κατανομής και αντιγραφής, οδηγώντας σε ελεγχόμενες υπερχειλίσεις σωρού πυρήνα.
Πρόσθετα ζητήματα περιελάμβαναν μη ασφαλή χρήση συναρτήσεων συμβολοσειράς και επικύρωση δείκτη που λείπει, τα οποία θα μπορούσαν να χρησιμοποιηθούν για να προκαλέσουν τοπικές επιθέσεις άρνησης υπηρεσίας.
Συνολικά, η ομάδα ανέφερε τέσσερις ευπάθειες υπερχείλισης σωρού πυρήνα και δύο ζητήματα DoS του τοπικού συστήματος που επηρεάζουν το Avast 25.2.9898.0 και ενδεχομένως άλλα προϊόντα Gendigital που μοιράζονται τον ίδιο κωδικό προγράμματος οδήγησης.
Η εκμετάλλευση αυτών των σφαλμάτων απαιτούσε πρώτα την καταχώριση μιας διαδικασίας ελεγχόμενης από τον εισβολέα στο sandbox του Avast μέσω ενός συγκεκριμένου IOCTL που ενημερώνει τη διαμόρφωση του sandbox.
Μόλις μπει στο sandbox, ο εισβολέας θα μπορούσε να ενεργοποιήσει τα ευάλωτα IOCTL και να επιτύχει κλιμάκωση τοπικών προνομίων στο SYSTEM. Η Avast ανταποκρίθηκε γρήγορα, εκδίδοντας ενημερώσεις κώδικα που διόρθωσαν τα μοτίβα διπλής ανάκτησης.
Επιβάλλετε τον κατάλληλο έλεγχο ορίων στις λειτουργίες συμβολοσειράς και προσθέστε ελέγχους εγκυρότητας που λείπουν πριν από την κατάργηση αναφοράς των δεικτών χρήστη.
Σύμφωνα με το χρονοδιάγραμμα που κοινοποιήθηκε από SAFAτα περισσότερα τρωτά σημεία επιδιορθώθηκαν εντός περίπου 12 ημερών από την αρχική αποδοχή, με το CVE-2025-13032 να δημοσιεύτηκε επίσημα στις 11 Νοεμβρίου 2025.
Η ομάδα SAFA λέει ότι αυτά τα ευρήματα δείχνουν ότι σοβαρά ελαττώματα πυρήνα μπορούν ακόμα να ανακαλυφθούν σε ευρέως χρησιμοποιούμενα εργαλεία ασφαλείας μέσω προσεκτικών χειροκίνητων ελέγχων και καινοτόμων τεχνικών.
