La sicurezza di dozzine di milioni di utenti in tutto il mondo è messa a rischio da due vulnerabilità ad alta gravità presenti degli antivirus Avast e AVG. La criticità è dovuta al fatto che tali falle sono passate inosservate per dieci anni, ossia dal lontano 2012.

Entrambe le falle, monitorate con le sigle CVE-2022-26522 e CVE-2022-26523, possono permettere l’escalation dei privilegi a un attaccante, che potrebbe così disabilitare i prodotti di sicurezza, sovrascrivere i componenti di sistema, corrompere il sistema operativo o eseguire operazioni dannose senza ostacoli.

Avast, che acquisì AVG nel 2016 per 1,3 miliardi di dollari, ha pubblicato gli aggiornamenti di sicurezza a seguito della segnalazione consapevole di SentinelOne. Fortunatamente, nonostante l’obsolescenza dei bug, al momento non risultano sfruttamenti attivi in the wild.

CVE-2022-26522 e CVE-2022-26523 riguardano un problema nel driver Avast Anti Rootkit, introdotto nel gennaio 2012 e impiegato anche da AVG. CVE-2022-26522 riguarda un gestore di connessione socket utilizzato dal driver del kernel aswArPot.sys. Sfruttandola, un attaccante potrebbe dirottare una variabile per aumentare i propri privilegi. Questo aspetto è critico, perché per loro natura i prodotti di cybersecurity devono essere eseguiti con privilegi elevati. Se un threat actor entra in possesso di tali privilegi, può disabilitare le soluzioni di sicurezza, manomettere un sistema operativo o eseguire altre attività dannose.

CVE-2022-26523 è molto simile alla falla appena descritta, ma riguarda la funzione aswArPot+0xc4a3. Usata in concerto con la 26522, questa vulnerabilità permette lo sfruttamento come parte di un browser attack o per eseguire una sandbox escape.

Tutti gli utenti Avast dovrebbero avere ricevuto l’aggiornamento di sicurezza in maniera automatica nel corso del mese di febbraio 2022, quindi dovrebbero essere al sicuro. Le aziende, dove in genere gli update sono attivati manualmente, corrono invece il rischio di essere soggetti ad attacchi di vasta portata. Il consiglio è quindi di controllare lo stato di update degli antivirus a rischio.