SentinelOne entdeckt zwei schwerwiegende Schwachstellen bei Avast und AVG, die seit 10 Jahren Millionen von Nutzern gefährden

Die Sicherheitsforscher von Sentinellabs haben im „Anti Rootkit“-Treiber von Avast (der auch von AVG verwendet wird) Lücken entdeckt, die es anfällig für äußerst wirksame Angriffsmethoden macht. Sie können den Bedrohungsakteuren zu einer Erweiterung der Zugriffsrechte verhelfen, indem Code im Kernel von einem Nutzer, der kein Administrator ist, ausgeführt wird. Avast und AVG sind weit verbreitete Antivirenprogramme und die Existenz der beiden kritischen Schwachstellen bedeutet für zahlreiche Nutzer weltweit eine besondere Gefährdung durch Cyberangriffe.

Diese Schwachstellen ermöglichen es Angreifern, ihre Zugriffsrechte zu erweitern und so Sicherheitsprodukte zu deaktivieren, Systemkomponenten zu überschreiben, das Betriebssystem zu beschädigen oder ungehindert bösartige Operationen durchzuführen. Die Sicherheitsprodukte laufen zwangsläufig auf der höchsten Privilegierungsstufe und sind daher für Angreifer äußerst attraktiv. Schwachstellen wie diese stellen ein äußerst kritisches Risiko für Unternehmen und Nutzer dar, die die betroffene Software einsetzen und die Bedrohungsakteure könnten durch den Exploit enorme finanzielle Schäden anrichten.

Diese Erkenntnisse der Sicherheitsforscher wurden Avast im Dezember 2021 proaktiv gemeldet. Die Schwachstellen werden als CVE-2022-26522 und CVE-2022-26523 geführt und sind mit einem hohen Schweregrad gekennzeichnet. Avast hat im Stillen Sicherheitsupdates veröffentlicht, um diese Schwachstellen zu beheben. Zum gegenwärtigen Zeitpunkt verfügt SentinelLabs über keine Hinweise auf einen stattgefundenen Exploit der Sicherheitslücken. Nach Angaben von Avast wurde die anfällige Funktion in Avast 12.1 eingeführt, das im Januar 2012 veröffentlicht wurde.

Schwachstellen wie diese stellen ein kritisches Risiko für Unternehmen und Nutzer dar, die die betroffene Software einsetzen. Bedrohungsakteure werden solche Schwachstellen ausnutzen, wenn sie die Gelegenheit dazu haben, und es ist von entscheidender Bedeutung, dass die betroffenen Nutzer geeignete Maßnahmen zur Schadensbegrenzung ergreifen.

Mögliche Auswirkungen der Schwachstellen

Aufgrund der Art dieser Sicherheitslücken können sie von Sandboxen aus ausgelöst werden und sind möglicherweise in anderen Zusammenhängen als nur der lokalen Erweiterung der Privilegien ausnutzbar. Die Schwachstellen könnten beispielsweise als Teil eines Browser-Angriffs der zweiten Stufe ausgenutzt werden oder dazu dienen, aus der Sandbox auszubrechen, um nur einige Möglichkeiten zu nennen.

Wie die Forscher bereits bei ähnlichen Schwachstellen in anderen Produkten feststellen konnten, haben solche kritische Schwachstellen das Potenzial, die vollständige Übernahme eines Geräts zu ermöglichen. In diesem Fall sogar ohne Privilegien, da sie die Möglichkeit bieten, Code im Kernel-Modus auszuführen.

Behebung der Sicherheitslücken

Die meisten Avast- und AVG-Benutzer erhalten den Patch (Version 22.1) automatisch. Denjenigen, die eine Air Gapped- oder Vor-Ort-Installation verwenden, wird jedoch empfohlen, den Patch so bald wie möglich anzuwenden.

Weitere Details zu diesem Threat Research können Sie unter diesem Link erfahren.