Deux vulnérabilités de sécurité de haut niveau, qui n’avaient pas été détectées pendant plusieurs années, ont été découvertes dans un conducteur légal il fait partie des solutions antivirus Avast et AVG.

« Cette vulnérabilité permet aux attaquants d’élever les privilèges qui leur permettent de désactiver les produits de sécurité, d’écraser les composants du système, de falsifier les systèmes d’exploitation ou d’effectuer des opérations malveillantes sans accroc », a déclaré le chercheur de SentinelOne, Kasif Dekel. mentionné dans un rapport partagé avec The Hacker News.

Suivie comme CVE-2022-26522 et CVE-2022-26523, la faille réside dans un pilote de noyau anti-rootkit légitime nommé aswArPot.sys et qui aurait été introduit dans la version 12.1 d’Avast, qui a été publiée en juin 2016.

Plus précisément, la faille est enracinée dans le contrôleur de connexion de socket dans le pilote du noyau, ce qui peut entraîner une élévation des privilèges en exécutant du code dans le noyau à partir d’un utilisateur non administrateur, provoquant potentiellement le blocage du système d’exploitation et l’affichage d’un écran bleu de la mort (BSoD) Erreur.

Fait inquiétant, la vulnérabilité peut également être exploitée dans le cadre d’une attaque de navigateur de deuxième étape ou pour effectuer une évasion de bac à sable, entraînant des conséquences de grande envergure.

Suite à la divulgation responsable du 20 décembre 2021, Avast a résolu le problème dans la version 22.1 du logiciel publié le 8 février 2022. « Le pilote du rootkit BSoD a été corrigé », a déclaré la société. mentionné dans les notes de version.

Bien qu’il n’y ait aucune preuve que cette vulnérabilité soit exploitée à l’état sauvage, la divulgation intervient quelques jours seulement après que Trend Micro a détaillé l’attaque du rançongiciel AvosLocker qui a exploité un autre problème dans le même pilote pour arrêter les solutions antivirus sur les systèmes compromis.