SentinelLabs a découvert deux failles critiques, vieilles de 10 ans, sur Avast et AVG, affectant potentiellement des dizaines de millions d’utilisateurs

mai 2022 par SentinelLabs

SentinelLabs, la division de recherche de SentinelOne a découvert deux failles de haute gravité sur les antivirus Avast et AVG (acquis par Avast en 2016). Elles existent depuis 10 ans et impactent potentiellement des dizaines de millions d’utilisateurs. Ces vulnérabilités permettent aux attaquants d’élever leurs privilèges, de désactiver des produits de sécurité, d’écraser des composants du système, de corrompre le système d’exploitation ou d’effectuer des opérations malveillantes sans entrave. Leur impact sur les utilisateurs et les entreprises, qui n’appliquent pas de correctifs, pourrait être considérable.

Le pilote "Anti Rootkit" d’Avast (également utilisé par AVG) s’est révélé vulnérable à deux attaques de haute gravité - nommées CVE-2022-26522 et CVE-2022-26523 par SentinelLabs - qui pourraient potentiellement conduire à une élévation de privilèges en exécutant du code dans le noyau depuis un utilisateur non administrateur. Compte tenu de la longévité de ces deux vulnérabilités, qui ont été introduites dans Avast 12.1 en janvier 2012, des dizaines de millions d’utilisateurs pourraient être affectés.

Par nécessité, les produits de sécurité fonctionnent au plus haut niveau de privilèges et sont donc très prisés par les attaquants. Comme SentinelLabs l’a constaté récemment avec des failles similaires dans d’autres produits, les deux vulnérabilités décelées présentent un risque critique pour les entreprises et les utilisateurs qui déploient Avast et AVG. Les hackers n’hésiteront pas à exploiter ces failles si l’occasion se présente et il est essentiel que les utilisateurs concernés prennent les mesures d’atténuation appropriées. De telles vulnérabilités pourraient permettre la prise de contrôle complète d’un appareil, même sans privilège – puisqu’il est possible d’exécuter du code en mode noyau - et être notamment utilisées pour contourner les produits de sécurité.

Les résultats des recherches de SentinelLabs ont été signalés de manière proactive à Avast en décembre 2021. Avast a, depuis lors, publié des mises à jour de sécurité (version 22.1) pour corriger ces vulnérabilités critiques. A ce jour, la division de recherche n’a pas trouvé la preuve d’une éventuelle exploitation de ces failles par des attaquants, mais il est probable que les hackers cherchent à cibler ceux qui n’ont pas encore pris les mesures appropriées.

SentinelLabs est fortement impliqué dans les recherches sur les nouvelles menaces en cybersécurité, et dans ce cadre les équipes s’impliquent activement, y compris dans la modélisation avancée des menaces et les tests de vulnérabilité des plateformes de cloud computing et des technologies connexes. SentinelLabs publie largement ses découvertes dans l’intérêt de tous les utilisateurs et de l’écosystème de cybersécurité.