Deux vulnérabilités de sécurité très graves, qui n’ont pas été détectées pendant plusieurs années, ont été découvertes dans un pilote légitime faisant partie des solutions antivirus Avast et AVG. « Ces vulnérabilités permettent aux attaquants d’élever les privilèges leur permettant de désactiver les produits de sécurité, d’écraser les composants du système, de corrompre le système d’exploitation ou d’effectuer des opérations malveillantes sans entrave », a déclaré le chercheur de SentinelOne, Kasif Dekel, dans un rapport partagé avec breachtrace
. Suivis comme CVE-2022-26522 et CVE-2022-26523, les failles résident dans un pilote de noyau anti-rootkit légitime nommé aswArPot.sys et auraient été introduites dans la version 12.1 d’Avast, qui a été publiée en juin 2016. Plus précisément, les lacunes sont enracinées dans un gestionnaire de connexion de socket dans le pilote du noyau qui pourrait conduire à une élévation des privilèges en exécutant du code dans le noyau à partir d’un utilisateur non administrateur, provoquant potentiellement le blocage du système d’exploitation et l’affichage d’un écran bleu de la mort (BSoD ) Erreur.
Fait inquiétant, les failles pourraient également être exploitées dans le cadre d’une attaque de navigateur de deuxième étape ou pour effectuer une évasion de bac à sable, entraînant des conséquences de grande envergure. Suite à la divulgation responsable le 20 décembre 2021, Avast a résolu les problèmes de la version 22.1 du logiciel publié le 8 février 2022. « Le pilote rootkit BSoD a été corrigé », a déclaré la société dans ses notes de publication. Bien qu’il n’y ait aucune preuve que ces failles aient été abusées dans la nature, la divulgation intervient quelques jours seulement après que Trend Micro a détaillé une attaque de rançongiciel AvosLocker qui a exploité un autre problème dans le même pilote pour mettre fin aux solutions antivirus sur le système compromis.