آسیب‌پذیری‌های سندباکس آنتی‌ویروس Avast و ارتقاء سطح دسترسی محلی

محققان امنیتی تیم SAFA چهار آسیب‌پذیری سرریز پشته هسته (Kernel Heap Overflow) را در آنتی‌ویروس Avast کشف کرده‌اند که همگی در درایور هسته aswSnx ردیابی شده‌اند. این نقص‌ها که به صورت جمعی با شناسه CVE-2025-13032 شناخته می‌شوند، می‌توانند به یک مهاجم محلی (Local Attacker) اجازه دهند تا امتیازات خود را در ویندوز ۱۱ تا سطح SYSTEM ارتقا دهد.

---

جزئیات فنی و نحوه سوءاستفاده

این آسیب‌پذیری‌ها بر روی اجرای نادرست کدی متمرکز بودند که تنها برای فرآیندهای درون سندباکس قابل دسترسی است، نه فرآیندهای عادی کاربر:

• محصولات آسیب‌دیده: Avast Antivirus و احتمالاً دیگر محصولات Gendigital که از کد درایور مشترک استفاده می‌کنند (Avast 25.2.9898.0).

• نوع نقص: چهار آسیب‌پذیری سرریز پشته هسته (Kernel Heap Overflow) و دو مشکل انکار سرویس محلی (Local DoS).

• درایور آسیب‌دیده: درایور هسته aswSnx.

• مکانیسم بهره‌برداری:

  1. ورود به سندباکس: مهاجم ابتدا باید فرآیند خود را از طریق یک IOCTL (I/O Control) خاص که پیکربندی سندباکس را به‌روز می‌کند، در سندباکس Avast ثبت کند.

  2. فرار از سندباکس: پس از قرار گرفتن در سندباکس، مهاجم می‌توانست IOCTLهای آسیب‌پذیر را فعال کند.

• علت اصلی: نقص‌های متعددی مانند شرایط "Double Fetch" (تغییر طول داده‌های ارائه‌شده توسط کاربر بین عملیات اعتبارسنجی، تخصیص حافظه و کپی)، استفاده ناامن از توابع رشته‌ای، و عدم اعتبارسنجی اشاره‌گرها، امکان سرریز کنترل‌شده پشته هسته را فراهم می‌آورد.

---

 واکنش و توصیه‌های امنیتی

Avast به سرعت به این گزارش‌ها واکنش نشان داد و وصله‌های لازم را منتشر کرد:

• وضعیت وصله: Avast با انتشار به‌روزرسانی‌هایی که الگوهای Double Fetch را اصلاح کرده، بررسی مرزهای صحیح عملیات رشته‌ای را اجباری ساخت و اعتبارسنجی‌های گم شده اشاره‌گرها را اضافه نمود، این آسیب‌پذیری‌ها را برطرف کرد.

• زمان واکنش: طبق جدول زمانی اعلام شده، اکثر آسیب‌پذیری‌ها تقریباً ظرف ۱۲ روز پس از پذیرش اولیه گزارش، رفع شدند. CVE-2025-13032 در تاریخ ۱۱ نوامبر ۲۰۲۵ به طور رسمی منتشر شد.

• اهمیت: این کشف نشان می‌دهد که علی‌رغم اهمیت ابزارهای امنیتی در حفاظت از سیستم، هنوز هم می‌توان از طریق بررسی‌های دستی دقیق، نقص‌های جدی هسته را در آن‌ها پیدا کرد