SAFA araştırmacıları, Avast Antivirus’ün aswSnx.sys sürücüsünde, CVE-2025-13032 olarak adlandırılan ve Windows’un 25.3’ten önceki sürümlerini etkileyen dört çekirdek yığın taşması güvenlik açığını ortaya çıkardı.
Bu kusurlar, IOCTL işlemedeki çift getirme sorunlarından kaynaklanmaktadır ve yerel saldırganların ayrıcalıkların SİSTEM’e yükseltilmesi için havuz taşmalarını tetiklemesine olanak sağlamaktadır.
Güvenlik açıkları, saldırı yüzeyine erişmek için sanal alan manipülasyonu gerektiriyor ve bu da tipik sanal alandan kaçış senaryolarının tersine döndüğüne işaret ediyor.
Araştırma Yaklaşımı
SAFA, yaygın dağıtımı ve izin verilen ACL’ler altında çok sayıda IOCTL işleyicisini açığa çıkaran aswSnx gibi kullanıcı tarafından erişilebilen sürücüler aracılığıyla zengin çekirdek saldırı yüzeyi nedeniyle Avast’ı hedef aldı.
Analiz, kullanıcı tarafından kontrol edilen verileri işleyen çekirdek bileşenlerine odaklandı ve zaman sınırlı bir denetimde verimlilik için yüksek IOCTL sayılarına sahip olanlara öncelik verildi.
Tersine mühendislik, Gendigital ürünleri genelinde paylaşılan kodu ortaya çıkardı ve bu, doğrulanmamış olsa da potansiyel olarak etkiyi artırdı.
Manuel denetim, ProbeForRead çağrılarının izlenmesi gibi buluşsal yöntemler ile birleştiğinde, kullanıcı tarafından sağlanan UNICODE_STRING yapılarını çekirdek belleğinde düzgün bir şekilde yakalamadan işleyen IOCTL 0x82AC0204’teki kusurları hızlı bir şekilde tespit etti.
Sürücü, Uzunluk alanını tahsis için bir kez ve kopyalama için iki kez getirerek, saldırganların kontrollü yığın taşmaları için işlemin ortasında bu alanı değiştirmesine olanak tanır.
Benzer sorunlar, DoS’a yol açan eksik işaretçi doğrulaması da dahil olmak üzere pString ve pData alanlarını da etkiler.
aswSnx sürücüsü, snx_lconfig.xml aracılığıyla özel bir sanal alan uygulayarak, savunmasız IOCTL’leri fAutosandbox ve scanhandle=1 gibi işaretlerle profilli işlemlerle sınırlandırır.
Standart işlemlere erişim yoktur ve yürütülebilir dosyaları salt okunur izinler altında kaydeden IOCTL 0x82AC0054 aracılığıyla yapılandırma manipülasyonu gerektirir.
Bu, çökmeleri tetiklemek ve temel öğeleri onaylamak için korumalı alana alınmış bir istismar.exe oluşturulmasına izin verdi.
Aynı işleyicide ek kusurlar ortaya çıktı: uzunluk hesaplaması ve tahsisi için dizeler üzerinde döngü tabanlı çift getirme ve süreç sonlandırma sırasında snprintf’in yanlış kullanımı, geniş dizelerin sabit arabelleklere kopyalanması.
Bir pData değişkeni, memcpy’den önce modeli ayrı boyutlandırma yinelemeleriyle tekrarlar. Bunlar, geçersiz işaretçiler aracılığıyla kullanıcı tarafından kontrol edilen taşmalara ve DoS’a neden olur.
Avast, çekirdek belleğindeki yapıları yakalayarak, başlangıç uzunluklarını yeniden kullanarak, sabit arabelleklere karşı boyut kontrolleri ekleyerek ve işaretçileri doğrulayarak sürüm 25.3’teki sorunları giderdi.
CVSS v3.1, düşük karmaşıklık, gereken düşük ayrıcalıklar ve kapsam değişikliği yoluyla tam CIA etkisi nedeniyle bunu 9,9 (Kritik) olarak puanlıyor.
SAFA, en son Windows 11’de LPE’yi göstererek korumalı alana rağmen uygulanabilirliğini kanıtladı.
Kuruluşlar derhal güncelleme yapmalı, yerel ayrıcalıkları sınırlamalı ve üst kademeye yükseltme girişimleri için günlükleri denetlemelidir. Bu, savunmalarda bile AV çekirdek sürücülerindeki kalıcı risklerin altını çiziyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.