Исследователи безопасности команды SAFA обнаружили уязвимости в антивирусе Avast, которые могут позволить локальным атакующим повысить привилегии до уровня SYSTEM на операционной системе Windows 11. Уязвимости, идентифицированные как CVE-2025-13032, связаны с драйвером aswSnx и были исправлены компанией в течение 12 дней после обнаружения.
Как выявить уязвимости в защите Windows 11
Обнаруженные уязвимости и их природа
Уязвимости в Avast были связаны с реализацией песочницы, которая изолирует ненадежные процессы. Команда SAFA обнаружила четыре переполнения куч в ядре, возникающие из-за незащищённых обработчиков IOCTL в драйвере aswSnx. Эти уязвимости обусловлены «двойным выбором», когда длина строк, предоставленных пользователем, может изменяться между проверкой, выделением и копированием, вызывая переполнения кучи ядра.
Методы эксплуатации и меры по защите
Для эксплуатации уязвимостей необходимо было зарегистрировать управляемый процесс в песочнице Avast через определенный IOCTL. После этого атакующий мог вызвать уязвимые IOCTL для эскалации привилегий. Avast выпустила патчи, устраняющие нарушения, внедрив строгую проверку границ строковых операций и добавив проверку перед разыменованием указателей пользователя.
Оценка и рекомендации
Скорость реагирования компании на выявленные уязвимости демонстрирует высокую готовность к устранению критических ошибок в безопасности. Тем не менее, специалисты SAFA подчеркивают, что важность тщательного анализа кода остаётся ключевым элементом защиты от таких угроз в будущем.
