Gli antivirus sono software sviluppati appositamente per proteggere i dispositivi dagli attacchi informatici. Ma la loro utilità viene meno se nel codice sono presenti vulnerabilità, come quelle scoperte dai ricercatori di SentinelOne nei prodotti di Avast e AVG. I due pericolosi bug sono stati segnalati a dicembre 2021 e risolti a febbraio con la versione 22.1.
Vulnerabilità nel driver anti-rootkit
Le due vulnerabilità, indicate con CVE-2022-26522 e CVE-2022-26523, erano presenti nel driver anti-rootkit di Avast (usato anche da AVG, azienda acquisita da Avast nel 2016). Un malintenzionato poteva sfruttarle per eseguire codice nel kernel, ottenere i privilegi di amministratore ed eseguire una serie di azioni, tra cui la disattivazione dell’antivirus e la sovrascrittura dei componenti di Windows.
Il driver in questione è aswArPot.sys e la versione vulnerabile è stata introdotta in Avast 12.1. Se viene sfruttato il bug CVE-2022-26522, il sistema operativo va in crash e sullo schermo viene mostrata la famigerata BSoD (Blue Screen of Death). Un simile risultato si ottiene con il bug CVE-2022-26523.
Questo tipo di vulnerabilità sono piuttosto gravi perché consentono di prendere il controllo completo del computer, anche senza i privilegi di amministrazione. Ciò è possibile in quanto permettono l’esecuzione di codice in modalità kernel. I due bug sono stati risolti con la versione 22.1.
Fortunatamente non sono stati rilevato attacchi “in the wild”. Trend Micro ha scoperto però che il driver in questione è stato utilizzato dal ransomware AvosLocker per disattivare le soluzioni di sicurezza.
Ovviamente l’incidente di percorso non inficia la qualità dei prodotti di Avast, come l’ottimo Premium Security.
Ti potrebbe interessare
6 mag 2022