В Avast нашли критическую уязвимость: эксплойт даёт права SYSTEM

Екатерина Быстрова 08 Декабря 2025 - 09:31

Домашние пользователи

Корпорации

Avast Software

Защита персональных компьютеров

Персональный антивирус

Уязвимости программ

Патчи

...

В Avast нашли критическую уязвимость: эксплойт даёт права SYSTEM

Исследователи из SAFA сообщили о серьёзной уязвимости в антивирусе Avast: драйвер aswSnx.sys содержит сразу четыре бага, объединённых под номером CVE-2025-13032. Брешь затрагивает версии программы до 25.3 на Windows. Проблема позволяет локальному злоумышленнику получить права SYSTEM, что делает историю особенно неприятной.

Необычный нюанс: чтобы добраться до уязвимого кода, атакующему нужно не вырваться из песочницы, как обычно, а наоборот — попасть в неё.

Внутренний механизм Avast допускает работу с рядом IOCTL-команд только для «особенных» процессов, и именно это ограничение исследователи смогли обойти, зарегистрировав собственный исполняемый файл в качестве одного из компонентов песочницы.

SAFA выбрали Avast для анализа из-за его популярности и богатого набора пользовательских интерфейсов в защитных драйверах. Особое внимание они уделили компонентам, обрабатывающим данные из пользовательского режима. Драйвер aswSnx оказался подходящей целью: множество IOCTL-обработчиков с очень мягкими ACL и знакомые паттерны работы со строками и структурами.

Ручной аудит вскрыл ключевую проблему: двойное считывание пользовательских структур UNICODE_STRING. Значение длины строки сначала использовалось для выделения памяти, а затем считывалось повторно — что позволяло изменить его между двумя операциями и добиться контролируемого переполнения буфера. Аналогичные ошибки затрагивали и другие поля, включая pString и pData, причём часть указателей никак не проверялась, что приводило к отказу в обслуживании.

По ходу анализа всплыли и дополнительные уязвимости: повторяющиеся двойные проходы по строкам для определения размера, неверное использование snprintf при завершении процесса, а также отдельный вариант проблемы с pData, где длина и копирование снова расходились.

В версии 25.3 Avast закрыла найденные дыры: драйвер теперь корректно копирует пользовательские структуры в память ядра, повторно использует исходные длины, проверяет размеры буферов и валидирует указатели. Уязвимость получила 9,9 балла из 10 по CVSS, что неудивительно: для эксплуатации нужны минимальные права, а результатом может стать полный контроль над системой.

Эксплойт SAFA успешно заработал на Windows 11, так что компаниям стоит обновиться как можно скорее, ограничивать локальные права и следить за подозрительными попытками повышения привилегий. История снова напоминает: даже защитные продукты могут содержать опасные ошибки в коде ядра.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Апреля 2026 - 18:59

Корпорации Услуги по информационной безопасности Managed Detection and Response (MDR) Лаборатория Касперского

В Kaspersky MDR 3.0 расширили возможности мониторинга и реагирования

«Лаборатория Касперского» обновила сервис Managed Detection and Response до версии 3.0. В новой версии разработчики сделали упор сразу на три направления: усилили интеграцию с другими продуктами компании, расширили применение MDR на встраиваемые системы и доработали инструменты для более удобной работы с инцидентами.

Одно из главных изменений — более плотная связка с другими решениями «Лаборатории Касперского». Теперь Kaspersky MDR 3.0 теснее взаимодействует с Kaspersky Anti Targeted Attack 8.0 и Kaspersky EDR Expert 8.0.

Например, по запросу аналитиков файлы можно передавать автоматически, что помогает быстрее разбирать инциденты. Кроме того, сами инциденты теперь можно экспортировать в Kaspersky Unified Monitoring and Analysis Platform 4.0 для дополнительного анализа.

Изменения затронули и контейнерные среды. Kaspersky Endpoint Security для Linux 12.4 начал передавать в MDR более детализированную телеметрию, что должно повысить качество выявления угроз. Также появился более удобный сценарий взаимодействия между Kaspersky EDR Expert и MDR: передать инцидент на разбор аналитикам теперь можно буквально в один клик.

Ещё одно заметное нововведение — расширение MDR на встраиваемые системы. В версии 3.0 появилась поддержка единого MDR-агента для Kaspersky Embedded Systems Security 4.0. Это позволяет подключать к мониторингу безопасности специализированные среды и в целом упрощает работу с такими системами.

Отдельно доработали и пользовательскую часть. В Telegram-уведомлениях об инцидентах теперь доступно больше подробностей, а интерфейс MDR-портала адаптировали под мобильные устройства. Идея простая: чтобы специалисты могли быстрее получить нужную информацию и не были жёстко привязаны к рабочему месту.

Кроме того, в новой версии предусмотрена возможность передавать инциденты команде Kaspersky Incident Response. Это нужно в тех случаях, когда атака оказывается сложной и для её расследования или устранения последствий требуется подключение профильных экспертов.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!