Deux vulnérabilités graves ont été découvertes qui n’avaient pas été détectées depuis plusieurs années dans les pilotes légitimes faisant partie des solutions antivirus d’Avast et d’AVG. Kasif Dekel, chercheur chez SentinelOne, a déclaré : Mentionné dans un rapport partagé avec Hacker News. Le bogue identifié comme CVE202226522 et CVE202226523 aurait été présent dans le pilote de noyau antirootkit légitime appelé aswArPot.sys et a été introduit dans la version 12.1 d’Avast publiée en juin 2016. En particulier, cette faille est enracinée dans le gestionnaire de connexion de socket du pilote du noyau, ce qui peut entraîner des privilèges élevés et des pannes du système par des utilisateurs non administrateurs exécutant du code dans le noyau (BSoD).
Inquiétant, cette vulnérabilité pourrait être exploitée dans le cadre d’une attaque de navigateur ou pour effectuer un contournement de bac à sable avec des conséquences généralisées.
Suite à la divulgation responsable du 20 décembre 2021, Avast a résolu le problème avec la version 22.1 du logiciel publiée le 8 février 2022. “Le pilote du rootkit BSoD a été corrigé”, a déclaré la société dans ses notes de publication.
Bien qu’il n’y ait aucune preuve que ces failles aient été abusées dans la nature, la divulgation intervient quelques jours seulement après que Trend Micro a détaillé une attaque de rançongiciel AvosLocker qui a exploité un autre problème dans le même pilote pour mettre fin aux solutions antivirus sur le système compromis.
Une réponse
ah sa ! moi qui ne jure que par avast