您所在的位置: 首頁 >
安全研究 >
安全通告 >
Avast/ AVG漏洞影響數百萬設備
Avast/ AVG漏洞影響數百萬設備。
Avast和AVG是兩款廣泛使用的安全產品,這些安全產品在Windows設備中以最高權限的特權服務的形式運行。SentinelLabs研究人員在Avast和AVG產品中發現2個存在數十年的高危安全漏洞,影響數百萬用戶。漏洞CVE編號為CVE-2022-26522 和CVE-2022-26523,攻擊者利用這兩個漏洞可以實現權限提升、禁用安全產品、覆寫系統組件、破壞操作系統、執行惡意操作。因為這兩個漏洞非常相似,因此本文主要分析CVE-2022-26522漏洞技術細節。
漏洞分析
CVE-2022-26522
該漏洞位于kernel驅動aswArPot.sys的socket連接處理器中。
如上圖所示,該函數首先將當前線程附加到目標進程中,然后使用nt!PsGetProcessPeb獲取當前進程PEB的指針。然后取回PPEB->ProcessParameters->CommandLine.Length來分配新緩存。然后復制PPEB->ProcessParameters->CommandLine.Buffer處用戶提供的緩存,緩存大小為PPEB->ProcessParameters->CommandLine.Length。
此時,攻擊者可以利用kernel線程的競爭條件來修改Length變量。
Looper線程:
PTEB tebPtr = reinterpret_cast(__readgsqword(reinterpret_cast(&static_cast< NT_TIB* >(nullptr)->Self)));
PPEB pebPtr = tebPtr->ProcessEnvironmentBlock;
pebPtr->ProcessParameters->CommandLine.Length = 2;
while (1) {
pebPtr->ProcessParameters->CommandLine.Length ^= 20000;
}
如上所述,代碼會獲取PEB結構的指針,然后處理進程命令行結構中的length域。該漏洞可以通過初始化socket連接來觸發,具體如下:
整個流程如下所示:
漏洞觸發后,用戶可以看到來自操作系統的告警:
CVE-2022-26523漏洞
該漏洞與CVE-2022-26522類似,位于aswArPot+0xbb94中。該函數會從用戶控制的指針中兩次取回length域。該漏洞可以通過圖像加載回調等多種方式觸發。
漏洞影響
漏洞可以從沙箱觸發,漏洞利用可以實現本地權限提升。比如,該漏洞利用可以作為第二階段瀏覽器攻擊或執行沙箱逃逸。攻擊者利用該漏洞還可以在kernel模式下執行代碼,完全控制整個設備。攻擊者還可以利用該漏洞繞過安全產品。
漏洞修復
SentinelLabs早在2021年12月就發現了該漏洞,Avast于2022年2月在v22.1版本中修復了該漏洞。
參考及來源:https://www.sentinelone.com/labs/vulnerabilities-in-avast-and-avg-put-millions-at-risk/
文章來源:嘶吼專業版