Hack Alerta

Avast corrige falhas no sandbox que permitem EoP (CVE-2025-13032)

Por Redação Hack Alerta Publicado em 06/12/2025 01:00 Riscos e Ameaças Tempo de leitura: 5 min

Pesquisadores da SAFA descobriram quatro estouros de heap no driver aswSnx do Avast (CVE-2025-13032) que podem permitir escalada local para SYSTEM no Windows 11. A versão afetada identificada é 25.2.9898.0; a Avast liberou correções e a SAFA publicou recomendações de validação de limites e checagens de ponteiro.

Avast corrige falhas no sandbox que permitem EoP (CVE-2025-13032)

Pesquisadores da equipe SAFA divulgaram um conjunto de vulnerabilidades de kernel em um driver do Avast que permitiriam escalada local de privilégios em máquinas com Windows 11. A fabricante lançou correções após a divulgação técnica do time.

Descoberta e escopo / O que mudou agora

O relatório da SAFA identificou quatro vulnerabilidades de estouro de heap no kernel ligadas ao driver aswSnx, componente do sandbox do Avast. As falhas foram agrupadas sob o identificador CVE-2025-13032. Segundo a equipe, as vulnerabilidades afetam especificamente o Avast na versão 25.2.9898.0 e podem também impactar outros produtos da Gendigital que compartilhem o mesmo código do driver.

Vetor e exploração / Mitigações

De acordo com a divulgação técnica, o caminho de exploração exige que um processo controlado pelo atacante seja registrado dentro do sandbox do Avast através de um IOCTL específico que atualiza a configuração do sandbox. Muitos dos handlers IOCTL mais críticos do aswSnx estão acessíveis apenas para processos já presentes no sandbox; por isso a cadeia começa pela inserção desse processo malicioso no ambiente isolado.

As condições exploráveis descritas pela SAFA incluem múltiplos casos de "double fetch" em que o comprimento de strings fornecidas pelo usuário pode ser alterado entre etapas de validação, alocação e cópia, resultando em estouros controlados no heap do kernel. Foram também relatados uso inseguro de funções de manipulação de strings e ausência de validação de ponteiros, gerando além das possibilidades de escalada de privilégios, situações de negação de serviço local.

A resposta do fornecedor incluiu correções que, segundo a SAFA, removeram os padrões de double-fetch identificados. A própria equipe recomendou práticas básicas de correção: validação de limites em operações com strings e checagem de validade antes de desreferenciar ponteiros oriundos do espaço do usuário.

Impacto e alcance / Setores afetados

O alcance exato além da versão citada não está totalmente documentado na publicação original. A SAFA explicitou que a versão afetada é a 25.2.9898.0; mencionou também a possibilidade de impacto em outros produtos da Gendigital que reutilizem o mesmo driver, mas não listou nomes específicos. Não há indicação, na fonte, de exploração ativa em ambiente real ou de números de máquinas afetadas.

Por se tratar de vulnerabilidades que permitem escalada para SYSTEM quando exploradas localmente, o risco principal é para ambientes onde usuários não confiáveis já possuem algum nível de execução (por exemplo, ambientes de multiusuário, estações de trabalho que executam aplicações obtidas externamente ou cenários de onboarding de processos em sandboxes). A publicação não detalha setores ou tipos de organização mais atingidos.

Limites das informações / O que falta saber

  • Não há, na matéria original, evidência de exploração em ataques reais (exploração em wild).
  • Não foi divulgado um inventário público de outros produtos Gendigital que compartilhem o driver aswSnx nem versões alternativas afetadas fora da 25.2.9898.0.
  • Não foram fornecidos detalhes técnicos de prova de conceito que permitam avaliar facilidade de exploração fora do cenário descrito (registro de processo no sandbox + uso de IOCTLs vulneráveis).

Repercussão / Próximos passos

A SAFA informou que a maior parte das correções foram aplicadas cerca de 12 dias após a aceitação inicial do relatório e que o CVE foi publicado em 11 de novembro de 2025. O fornecedor (Avast) respondeu com patches para as falhas apontadas.

Recomendações práticas, com base nas ações relatadas pela equipe de pesquisa, incluem:

  • Aplicar imediatamente as atualizações distribuídas pela Avast para a versão afetada citada.
  • Em ambientes sensíveis, revisar instalação de produtos que utilizem o driver aswSnx ou componentes compartilhados por linhas de produto da mesma família (avaliar inventário e telemetria).
  • Monitorar comunicados oficiais da Avast e da SAFA para eventuais notas sobre produtos adicionais impactados ou medidas complementares.

Se houver necessidade de auditoria interna, a publicação técnica da SAFA serve como referência para investigar padrões de double-fetch e validações ausentes em handlers IOCTL que aceitam dados do espaço do usuário.

Conclusão

O caso revela que componentes de segurança com execução em kernel ainda podem apresentar falhas críticas quando implementados com erros clássicos de validação. A correção rápida por parte do fornecedor foi destacada pela SAFA; contudo, a extensão do impacto para outros produtos que compartilham o driver permanece sem detalhamento público.

Baseado em publicação original de Cyber Security News
Tags: #avast #kernel #heap-overflow #cve-2025-13032 #sandbox-escape #privilege-escalation #windows11 #aswsnx #gendigital
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar