Η SentinelOne βρίσκει ελαττώματα υψηλής σοβαρότητας στα Avast, AVG

[nnn]

Η SentinelOne ανακάλυψε δύο ευπάθειες υψηλής σοβαρότητας που επηρεάζουν τα προϊόντα antivirus των Avast και AVG, τα οποία υπάρχουν από το 2012.

Η εταιρεία εντοπισμού απειλών SentinelOne δημοσίευσε ένα blog που αποκάλυψε τις ευπάθειες την Πέμπτη. Τα ελαττώματα αφορούν το anti-rootkit driver της Avast, το οποίο χρησιμοποιείται τόσο από τα προϊόντα antivirus της Avast όσο και από την AVG (η Avast εξαγόρασε την AVG το 2016). Εάν αξιοποιηθεί, ένας φορέας απειλής θα μπορούσε να χρησιμοποιήσει το πρόγραμμα οδήγησης για να κλιμακώσει τα προνόμια σε επίπεδο πυρήνα. Ο μεγάλος αριθμός χρηστών των Avast και AVG σημαίνει, όπως σημειώνει η SentinelOne στο ιστολόγιό της, ότι εκατομμύρια χρήστες είναι θεωρητικά ευάλωτοι.

Τα ελαττώματα εντοπίζονται ως CVE-2022-26522 και CVE-2022-26523. Πλήρεις τεχνικές λεπτομέρειες είναι διαθέσιμες στην ανάρτηση της SentinelOne στο blog. Μια ενημερωμένη έκδοση που κυκλοφόρησε τον Φεβρουάριο, η έκδοση 22.1, διόρθωσε το πρόβλημα και εφαρμόστηκε αυτόματα στις εγκαταστάσεις των περισσότερων χρηστών των Avast και AVG. Η SentinelOne συμβούλευσε τους χρήστες χωρίς αυτόματες ενημερώσεις, συμπεριλαμβανομένων εκείνων που εκτελούν εκδόσεις σε εγκαταστάσεις, να επιδιορθώσουν αμέσως.

Ο Kasif Dekel, ανώτερος ερευνητής ασφαλείας της SentinelOne και συγγραφέας της ανάρτησης στο blog, έγραψε ότι οι ευπάθειες παρέμεναν ανεξερεύνητες για 10 χρόνια και μπορούν να αξιοποιηθούν σε πολλαπλά πλαίσια.

"Λόγω της φύσης αυτών των ευπαθειών, μπορούν να ενεργοποιηθούν από sandboxes και ενδέχεται να είναι εκμεταλλεύσιμες σε πλαίσια εκτός από την τοπική κλιμάκωση προνομίων", έγραψε. "Για παράδειγμα, οι ευπάθειες θα μπορούσαν να αξιοποιηθούν ως μέρος μιας επίθεσης σε δεύτερο στάδιο του προγράμματος περιήγησης ή για να πραγματοποιηθεί διαφυγή από sandbox, μεταξύ άλλων δυνατοτήτων".

Οι ευπάθειες των antivirus έχουν τη δυνατότητα να είναι ιδιαίτερα σοβαρές: το λογισμικό χρειάζεται συνήθως πρόσβαση σε όλα τα μέρη της συσκευής ενός χρήστη και, ως εκ τούτου, απαιτεί υψηλότερα προνόμια από τα περισσότερα λογισμικά που κατεβαίνουν.

Σύμφωνα με το χρονοδιάγραμμα που παρέχεται στην ανάρτηση στο ιστολόγιο, η SentinelOne ανέφερε τα ελαττώματα στην Avast στις 20 Δεκεμβρίου του περασμένου έτους. Η Avast επιβεβαίωσε την αναφορά στις αρχές Ιανουαρίου πριν ενημερώσει τη SentinelOne ότι το ελάττωμα διορθώθηκε στις 11 Φεβρουαρίου.

Ωστόσο, η αναφορά της SentinelOne ανέφερε: "Η Avast έχει κυκλοφορήσει σιωπηλά ενημερώσεις ασφαλείας για την αντιμετώπιση αυτών των ευπαθειών".

Το SearchSecurity ρώτησε την Avast γιατί δεν κυκλοφόρησε δημόσια μια γνωστοποίηση για τους πελάτες που πίστωσε την SentinelOne με την ανακάλυψη των ευπαθειών.

Ένας εκπρόσωπος της Avast έστειλε την ακόλουθη δήλωση στο SearchSecurity:

"Τόσο η Sentinel One όσο και η Avast ακολούθησαν τις τυποποιημένες πρακτικές της βιομηχανίας για την υπεύθυνη αποκάλυψη, η οποία είναι μια καλά υιοθετημένη διαδικασία στη βιομηχανία της τεχνολογίας, σύμφωνα με την οποία οι ευπάθειες μοιράζονται πρώτα ιδιωτικά με τους κατασκευαστές της επηρεαζόμενης τεχνολογίας, επιτρέποντας χρόνο για τη διόρθωσή τους πριν γίνουν γνωστές και δυνητικά εκμεταλλεύσιμες. Η Avast δημοσίευσε μια ενημερωμένη έκδοση στις 8 Φεβρουαρίου, η οποία περιλάμβανε τη διόρθωση αυτής της ευπάθειας μαζί με άλλες διορθώσεις σφαλμάτων", αναφέρεται στην ανακοίνωση.

"Είναι κοινή πρακτική μεταξύ των εταιρειών τεχνολογίας να διορθώνουν ευπάθειες στα προϊόντα τους χωρίς να παρέχουν πληροφορίες που θα μπορούσαν να οδηγήσουν στην εκμετάλλευσή τους. Αποτελεί επίσης κοινή πρακτική για τις ερευνητικές ομάδες να δημοσιεύουν τις λεπτομέρειες των ευρημάτων τους ως έναν τρόπο να επιτύχουν αναγνώριση για τα ευρήματά τους και να μοιραστούν τα διδάγματα τους με την ευρύτερη κοινότητα απειλών. Με τη χρήση της υπεύθυνης δημοσιοποίησης, οι χρήστες προστατεύονται, ενώ ο ευρύτερος κλάδος μπορεί να μάθει από την έρευνα που διεξήχθη σχετικά με τις εν λόγω ευπάθειες για να διασφαλίσει ότι δεν θα εμφανιστούν σε άλλα προϊόντα."

Ο εκπρόσωπος συμπεριέλαβε έναν σύνδεσμο σε μια ανάρτηση στο φόρουμ της Avast που ανακοίνωσε την έκδοση 22.1 στις 8 Φεβρουαρίου. Ωστόσο, η ανάρτηση δεν αναφέρει ούτε το CVE ούτε τις απειλές κλιμάκωσης προνομίων, ούτε αποδίδει τα εύσημα στην SentinelOne για τις ανακαλύψεις. Η δημοσίευση αναφέρει μόνο ότι ένα "Rootkit driver BSOD [μπλε οθόνη θανάτου] διορθώθηκε".

Η δημοσίευση της SentinelOne ακολούθησε μια έκθεση της Δευτέρας από την Trend Micro που κάλυπτε με παρόμοιο τρόπο το anti-rootkit driver της Avast. Οι ερευνητές της Trend Micro ανακάλυψαν ότι το ransomware AvosLocker έκανε κατάχρηση του προγράμματος οδήγησης προκειμένου να αποφύγει την ανίχνευση.

Σύμφωνα με την Trend Micro, η Avast επιβεβαίωσε ότι υπήρχε ευπάθεια σε μια παλιά έκδοση του προγράμματος οδήγησης, η οποία διορθώθηκε τον Ιούνιο του 2021.

Translated with www.DeepL.com/Translator (free version)

Πηγή : Techtarget

[BlueChris]

Δεν κατάλαβα το πρόβλημα να πω την αλήθεια. Βρήκε κάποιος κάτι , το είπε στην Avast και αυτή το διόρθωσε..

[iJohnnyCash]

Προφανώς ήθελε φράγκα (και γιατί όχι, η ΕΕ έχει ολόκληρο πρόγραμμα που μοιράζει τρις!), ή έστω credits ή και τα δυο.

[BlueChris]

Προφανώς ήθελε φράγκα (και γιατί όχι, η ΕΕ έχει ολόκληρο πρόγραμμα που μοιράζει τρις!), ή έστω credits ή και τα δυο.

Α οκ έτσι ναι και για μένα πρέπει να μοσχοπληρώνονται όσοι βρίσκουν τρύπες σε οτιδήποτε.

[ZaNteR]

Παντως για οποιον θέλει να αλλαξει απο τότε που βγηκαν τα 10 δεν εχω βαλει επανω αλλο antivirus εκτός απο το μαμησιο της ms. Σε συνδυασμος με manual scans malwarebytes που και που ειναι κομπλε.

[BlueChris]

Παντως για οποιον θέλει να αλλαξει απο τότε που βγηκαν τα 10 δεν εχω βαλει επανω αλλο antivirus εκτός απο το μαμησιο της ms. Σε συνδυασμος με manual scans malwarebytes που και που ειναι κομπλε.

Το πρόβλημα για μένα με το antivirus των 10 είναι στο IN του ιού/trojan... δεν έχουν καλό IPS κλπ ώστε να το πιάσουν το κακό την ώρα που μπαίνει. Δουλεύει εκ του αποτελέσματος αν μπει κάτι και πάει μετά να κάνει ζημιά και πολλές φορές αυτό είναι κακό.

[tsigarid]

Δεν κατάλαβα το πρόβλημα να πω την αλήθεια. Βρήκε κάποιος κάτι , το είπε στην Avast και αυτή το διόρθωσε..

Προφανώς ήθελε φράγκα (και γιατί όχι, η ΕΕ έχει ολόκληρο πρόγραμμα που μοιράζει τρις!), ή έστω credits ή και τα δυο.

Και εγώ τα δύο παραπάνω πιστεύω, ταυτόχρονα. Απλά γκρινιάζουν που δεν τους έδωσαν τα εύσημα, για ένα λυμένο πρόβλημα.