Avast/ AVG漏洞影響數百萬設備。

Avast和AVG是兩款廣泛使用的安全產品，這些安全產品在Windows設備中以最高權限的特權服務的形式運行。SentinelLabs研究人員在Avast和AVG產品中發現2個存在數十年的高危安全漏洞，影響數百萬用戶。漏洞CVE編號為CVE-2022-26522 和CVE-2022-26523，攻擊者利用這兩個漏洞可以實現權限提升、禁用安全產品、覆寫系統組件、破壞操作系統、執行惡意操作。因為這兩個漏洞非常相似，因此本文主要分析CVE-2022-26522漏洞技術細節。

漏洞分析

CVE-2022-26522

該漏洞位于kernel驅動aswArPot.sys的socket連接處理器中。

如上圖所示，該函數首先將當前線程附加到目標進程中，然后使用nt!PsGetProcessPeb獲取當前進程PEB的指針。然后取回PPEB->ProcessParameters->CommandLine.Length來分配新緩存。然后復制PPEB->ProcessParameters->CommandLine.Buffer處用戶提供的緩存，緩存大小為PPEB->ProcessParameters->CommandLine.Length。

此時，攻擊者可以利用kernel線程的競爭條件來修改Length變量。

Looper線程：

PTEB tebPtr = reinterpret_cast(__readgsqword(reinterpret_cast(&static_cast< NT_TIB* >(nullptr)->Self)));

PPEB pebPtr = tebPtr->ProcessEnvironmentBlock;

pebPtr->ProcessParameters->CommandLine.Length = 2;

while (1) {

pebPtr->ProcessParameters->CommandLine.Length ^= 20000;

}

如上所述，代碼會獲取PEB結構的指針，然后處理進程命令行結構中的length域。該漏洞可以通過初始化socket連接來觸發，具體如下：

整個流程如下所示：

漏洞觸發后，用戶可以看到來自操作系統的告警：

CVE-2022-26523漏洞

該漏洞與CVE-2022-26522類似，位于aswArPot+0xbb94中。該函數會從用戶控制的指針中兩次取回length域。該漏洞可以通過圖像加載回調等多種方式觸發。

漏洞影響

漏洞可以從沙箱觸發，漏洞利用可以實現本地權限提升。比如，該漏洞利用可以作為第二階段瀏覽器攻擊或執行沙箱逃逸。攻擊者利用該漏洞還可以在kernel模式下執行代碼，完全控制整個設備。攻擊者還可以利用該漏洞繞過安全產品。

漏洞修復

SentinelLabs早在2021年12月就發現了該漏洞，Avast于2022年2月在v22.1版本中修復了該漏洞。

參考及來源：https://www.sentinelone.com/labs/vulnerabilities-in-avast-and-avg-put-millions-at-risk/

文章來源：嘶吼專業版