HARD CORE SECURITY LAB

avast! Antivirus to popularny darmowy program antywirusowy, którego producentem jest czeska firma ALWIL Software. Program jest dostępny w 27 wersjach językowych. Jego skuteczność potwierdzają m.in. certyfikaty ICSA oraz wielokrotnie przyznawane nagrody 100% Virus Bulletin Award. Niestety, ALWIL nie potrafi skutecznie zabezpieczyć własnych serwisów internetowych, czego dowodem jest niedawny udany atak crackerów na witrynę www.avast.de. Na domiar złego, w czeskim oprogramowaniu antywirusowym wykryto niedawno lukę pozwalającą m.in. na zwiększenie uprawnień zalogowanych lokalnie użytkowników.

O błędzie informowała już Secunia, powołując się na raport Tobiasa Kleina i zalecając zaktualizowanie aplikacji do najnowszej wersji. Usterka dotyczy sterownika systemowego aavmker4.sys i w jej wyniku możliwe jest nadpisanie pamięci jądra systemu operacyjnego za pomocą specjalnie spreparowanego żądania IOCTL. Luka pozwala na awaryjne zakończenie pracy systemu operacyjnego lub też na uruchomienie dowolnego programu z uprawnieniami systemowymi. Lokalni użytkownicy pracujący z ograniczonymi prawami mogą więc za jej pośrednictwem uzyskać uprawnienia administracyjne.

Podatność występuje w wersji 4.8 oraz 5.0 (z wyłączeniem 5.0.418.0). Rozwiązanie problemu możliwe jest poprzez aktualizację Avasta do najnowszego wydania. Na chwilę obecną nie powstało jeszcze narzędzie (exploit) pozwalające każdemu na wykorzystanie tej podatności w stosunkowo prosty sposób. Należy jednak oczekiwać, że lada dzień odpowiedni program może zostać upubliczniony. W takim przypadku wszyscy użytkownicy pracujący na firmowych komputerach (wyposażonych w podatne na tak wersje Avasta) z poziomu lokalnego użytkownika o ograniczonych prawach, będę mogli w prosty sposób uzyskać uprawnienia administracyjne. Taki scenariusz z pewnością spędza sen z powiek administratorów IT pracujących w firmach korzystających z Avasta...