Екипът SAFA разкри опасни пропуски в драйвера aswSnx на Avast, които позволяват локална ескалация на привилегии през sandbox механизма.

Четири уязвимости в Avast, водещи до SYSTEM права

Изследователи по сигурността от екипа SAFA са открили четири kernel heap overflow уязвимости в антивирусния продукт Avast. Всички са проследени до драйвера aswSnx, използван от Avast за мониторинг и защита на процеси.

Уязвимостите са обединени под идентификатора CVE-2025-13032 и позволяват локална ескалация на привилегии до SYSTEM в Windows 11, ако бъдат успешно експлоатирани.

Фокусът на анализа е механизмът Avast Sandbox, предназначен да изолира недоверени процеси, но който в случая се оказва входна точка за атака.

Как изследователите достигнаха до уязвимия код

За да достигнат до дефектните кодови пътища, експертите първо анализират oпределения sandbox профил на Avast. Това е необходимо, защото най-опасните IOCTL обработчици в aswSnx са достъпни само за процеси вътре в sandbox-а, а не за стандартни потребителски процеси.

Чрез инженерно обратно проучване на драйверите и IOCTL интерфейсите, SAFA идентифицира драйвера aswSnx като най-обещаваща цел, поради:

• голям брой IOCTL обработчици, достъпни за потребители,

• сложна логика при работа с буфери,

• значима роля за sandbox технологията.

Основният проблем: double-fetch и некоректни операции със стрингове

SAFA открива няколко критични модела на неправилно обработване на данни:

1. Double-fetch уязвимости

Проблеми, при които дължината на потребителски подаден низ се променя между проверката, заделянето на памет и последващото копиране в kernel space. Това отваря път към:

• контролирани kernel heap overflow атаки,

• възможност за пренаписване на критични структури в паметта.

2. Небезопасни string операции

Използване на функции, които не проверяват граници, което позволява препълване на буфери.

3. Липсващи проверки на указатели

Непроверени указатели водят до възможност за краш или DoS на системата.

В резултат SAFA докладва:

• четири kernel heap overflow уязвимости,

• две локални DoS слабости,
  засягащи Avast 25.2.9898.0 и вероятно други продукти на Gendigital, които използват същия драйвер.

Как може да бъде извършена атаката

За да бъдат експлоатирани уязвимостите, атакуващият трябва:

1. Да регистрира свой процес в Avast Sandbox, използвайки IOCTL, който актуализира конфигурацията на sandbox-а.

Това е ключов момент – само sandbox процеси имат достъп до уязвимите IOCTL-и.

2. Да задейства уязвимите IOCTL обработчици, което позволява генериране на контролирано kernel heap overflow.

3. Да постигне ескалация до SYSTEM чрез пренаписване на структури в kernel паметта.

Реакция на Avast и корекции

Avast реагира бързо:

• коригира double-fetch моделите,

• добавя проверки на дължини и размери,

• засилва проверките на указатели,

• въвежда по-строг контрол върху операциите със стрингове.

Според времевата линия, споделена от SAFA, повечето уязвимости са били отстранени в рамките на около 12 дни от първоначалното приемане на доклада.

CVE-2025-13032 е публикуван официално на 11 ноември 2025 г.

Откритията на SAFA показват, че дори установени и масово използвани инструменти за сигурност могат да съдържат критични kernel-level дефекти.
Те подчертават значението на:

• задълбочения manual анализ,

• проверките на IOCTL интерфейсите,

• строгото управление на буфери в kernel space.

Тези уязвимости напомнят, че защитните компоненти в операционната система също трябва да бъдат подложени на регулярни и независими проверки, тъй като компрометирани защитни драйвери осигуряват директен път към пълен контрол над системата.