خانه » CVE-2025-13032
هشدار‌های سایبری

CVE-2025-13032

Local Privilege Escalation in Avast/AVG Antivirus Kernel Driver via Double Fetch Vulnerability

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 176 بازدید
  • شناسه CVE-2025-13032 :CVE
  • CWE-367 :CWE
  • yes :Advisory
  • منتشر شده: نوامبر 11, 2025
  • به روز شده: نوامبر 11, 2025
  • امتیاز: 9.9
  • نوع حمله: Race Condition
  • اثر گذاری: Privilege Escalation
  • حوزه: سیستم‌عامل‌ها و اجزای کلیدی آن
  • برند: Avast Software / AVG Technologies
  • محصول: Avast Antivirus / AVG Antivirus
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری بحرانی در درایور کرنل محیط سندباکس آنتی‌ویروس‌های Avast و AVG به‌دلیل وجود ضعف double fetch (نوعی Race Condition) رخ می‌دهد. این ضعف باعث ایجاد سرریز در حافظه Pool کرنل شده و به مهاجم لوکال با دسترسی پایین اجازه می‌دهد سطح دسترسی خود را افزایش دهد. در نتیجه، مهاجم می‌تواند کد دلخواه را در سطح کرنل اجرا کرده و کنترل کامل سیستم را به دست آورد.

توضیحات

آسیب‌پذیری CVE-2025-13032 ناشی از شرایط رقابتی زمان بررسی زمان استفاده(TOCTOU Race Condition) مطابق با CWE-367 و در قالب یک Double Fetch در درایور کرنل محیط سندباکس محصولات Avast و AVG در ویندوز است.

این درایور مسئول ایزوله‌سازی فرآیندهای مشکوک است و از طریق IOCTLها (رابط ارتباط فضای کاربر وکرنل) با برنامه‌ها تعامل دارد. در نسخه‌های پیش از 25.3، درایور طول یک بافر را دو بار از فضای کاربر می‌خواند. ابتدا برای تخصیص حافظه در کرنل (time-of-check) و سپس برای کپی داده (time-of-use). مهاجم می‌تواند در فاصله‌ی میان این دو مرحله مقدار طول را تغییر دهد و موجب سرریز pool در حافظه کرنل شود.

این سرریز اجازه می‌دهد مهاجم حافظه کرنل را دستکاری کند، ساختارهای حساس مانند اشاره‌گرها یا توکن‌های دسترسی را بازنویسی کند و سطح دسترسی خود را افزایش دهد. پیامدهای این آسیب‌پذیری شامل اجرای کد در کرنل، افشای اطلاعات حساس، تغییر در وضعیت سیستم و کرش کرنل است.

بهره‌برداری از این ضعف قابل خودکارسازی است. مهاجم با دسترسی پایین (چه مهاجمی که قبلاً از راه دور روی سیستم حضور یافته باشد (RDP/بدافزار) و چه مهاجم لوکل) می‌تواند بدون نیاز به تعامل کاربر یک IOCTL مخرب ارسال کند و با تغییر طول بافر در مرحله دوم، از سرریز برای کنترل جریان اجرا یا اجرای یک ROP chain استفاده کند. این آسیب‌پذیری در نسخه 25.3 به‌طور کامل پچ شده است.

CVSS

Score Severity Version Vector String
9.9 CRITICAL 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Platforms Product
affected from 0 before 25.3 Windows (Free/Premiium/Ultimeat) Antivirus
affected from 0 before 25.3 Windows One
affected from 0 before 25.3 Windows (Free/Inernet Security/Ultimate) Antivirus

لیست محصولات بروز شده

Versions Platforms Product
25.3 Windows (Free/Premiium/Ultimeat) Antivirus
25.3 Windows One
25.3 Windows (Free/Inernet Security/Ultimate) Antivirus

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Avast Antivirus و AVG Antivirus را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
22,000 site:.ir “Avast Antivirus” Avast Antivirus
5,990 site:.ir “AVG Antivirus” AVG Antivirus

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در درایور کرنل محیط سندباکس آنتی‌ویروس‌های Avast و AVG به مهاجم لوکال با دسترسی پایین اجازه می‌دهد سطح دسترسی خود را به سطح کرنل (SYSTEM) افزایش دهد؛ موضوعی که می‌تواند منجر به کنترل کامل سیستم و دور زدن مکانیزم های امنیتی شود. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

  • به‌روزرسانی فوری: تمام نصب‌های Avast/AVG را به نسخه 25.3 یا بالاتر به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
  • بررسی وضعیت سیستم: نسخه درایور را با ابزارهایی مانند Autoruns یا Process Explorer بررسی کنید و لاگ‌های سیستم (Event Viewer یا Sysmon) را برای نشانه‌های دسترسی غیرعادی به درایور یا فراخوانی‌های IOCTL تحت نظر داشته باشید.
  • محدودسازی سطح حمله: در صورت امکان، با استفاده از AppLocker یا WDAC دسترسی فرآیندهای غیرمجاز به درایورهای کرنل را محدود کنید و قابلیت Self-Defense آنتی‌ویروس را فعال نگه دارید.
  • ایزوله‌سازی محیط: با اعمال اصل حداقل دسترسی، ایمن‌سازی UAC و محدودسازی اجرای کد توسط کاربران غیرمدیر، احتمال سوءاستفاده لوکال کاهش می‌یابد. تنظیمات فایروال نیز می‌تواند از ایجاد نقطه ورود اولیه جلوگیری کند.
  • تست امنیتی: در محیط‌های سازمانی پیشرفته، تست‌های امنیتی مانند بررسی عملکرد درایور، تحلیل IOCTLها و شبیه‌سازی شرایط رقابتی (TOCTOU) می‌تواند به شناسایی ضعف‌های مشابه کمک کند.
  • نظارت مداوم: لاگ‌های کرنل را با ابزارهایی مانند Sysmon (System Monitor) ثبت و تحلیل کنید تا نشانه‌های سرریز حافظه شناسایی شود.
  • آموزش و آگاهی: کاربران و مدیران را در مورد ریسک‌های افزایش سطح دسترسی در نرم‌افزارهای امنیتی آموزش دهید و از جایگزین‌های چندلایه مانند EDR (Endpoint Detection and Response) برای جلوگیری از ضعف‌های احتمالی استفاده کنید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع، تقویت لایه‌های نظارتی و محدودسازی دسترسی، ریسک بهره‌برداری از این آسیب‌پذیری را به‌طور چشمگیری کاهش داده و امنیت محیط‌های ویندوزی مبتنی بر Avast/AVG را به‌صورت قابل‌توجهی افزایش می‌دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
این آسیب‌پذیری مستقیماً به مهاجم لوکال با دسترسی پایین اجازه می‌دهد با ارسال یک IOCTL مخرب به درایور کرنل Avast/AVG، سطح دسترسی خود را افزایش دهد. ورود اولیه از طریق دسترسی کاربر عادی به سیستم و توانایی تعامل با درایور ممکن می‌شود.

Execution (TA0002)
در این آسیب‌پذیری، مهاجم قادر است با سوءاستفاده از شرایط رقابتی Double Fetch، کد دلخواه خود را در سطح کرنل اجرا کند. این شامل ایجاد سرریز pool کرنل و بازنویسی ساختارهای حساس است.

Privilege Escalation (TA0004)
مهاجم می‌تواند با سوءاستفاده از ضعف Double Fetch در درایور، سطح دسترسی خود را از کاربر عادی به SYSTEM ارتقا دهد. این افزایش دسترسی امکان کنترل کامل سیستم و دور زدن مکانیزم‌های امنیتی را فراهم می‌کند.

Defense Evasion (TA0005)
مهاجم می‌تواند با دستکاری حافظه کرنل و تغییر ساختارهای حساس، ابزارهای امنیتی و مکانیزم‌های دفاعی را دور بزند.

Impact (TA0040)
پیامد بهره‌برداری موفق شامل اجرای کد در سطح کرنل، افشای اطلاعات حساس، کرش سیستم و کنترل کامل سیستم است.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-13032
  2. https://www.cvedetails.com/cve/CVE-2025-13032/
  3. https://www.gendigital.com/us/en/contact-us/security-advisories/
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-13032
  5. https://vuldb.com/?id.331917
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-13032
  7. https://cwe.mitre.org/data/definitions/367.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.