Avast Antivirus の脆弱性 CVE-2025-13032：サンドボックス下での権限昇格

Avast Antivirus Sandbox Vulnerabilities Allow Privilege Escalation

2025/12/05 gbhackers — Avast Antivirus の aswSnx.sys ドライバに存在するカーネルヒープ・オーバーフローの脆弱性 CVE-2025-13032 を、SAFA の研究者たちが発見した。この脆弱性が影響を及ぼす範囲は、Avast Antivirus for Windows のバージョン 25.3 以下である。この脆弱性は IOCTL 処理におけるダブルフェッチの問題に起因し、プール・オーバーフローを引き起こすローカル攻撃者に対して、SYSTEM 権限への昇格を許すものだ。また、この脆弱性の悪用にはサンドボックス内での操作が必要であり、一般的に想定されるサンドボックス・エスケープの攻撃シナリオとは異なる性質を持つ。

研究アプローチ

SAFA が Avast を調査対象とした理由は、広範に導入されている実績と、aswSnx などのユーザーがアクセス可能なドライバを介して広がる、カーネル攻撃の対象領域にある。aswSnx は、permissive ACL の下で多数の IOCTL ハンドラを公開している。

今回の分析は、ユーザー制御データを処理するカーネル・コンポーネントに焦点を置き、IOCTL 呼び出し数の多いコンポーネントを優先するという、限られた期間での監査効率を重視するものだった。その結果として確認されたのは、リバースエンジニアリングにより Gendigital 製品間でコードが共有されていることだった。現時点で詳細は未検証だが、影響範囲が拡大する可能性がある。

ProbeForRead 呼び出しのトレースを含むヒューリスティック手法と、手動での監査を組み合わせることで、IOCTL 0x82AC0204 に存在する脆弱性を迅速に特定できたという。この IOCTL は、ユーザーが指定する UNICODE_STRING 構造体を処理するが、カーネル・メモリを適切にキャプチャしない。

このドライバは Length フィールドを２回取得する。１回目は割り当て時、２回目はコピー時である。そのため、処理の途中に Length フィールドを書き換える攻撃者は、制御されたヒープオーバーフローを発生させられる。同様の問題が pString／pData フィールドでも確認されており、ポインタ検証不足により DoS 攻撃へつながる可能性がある。

aswSnx ドライバは、snx_lconfig.xml を介してカスタム・サンドボックスを適用し、脆弱な IOCTL を fAutosandbox や scanhandle=1 といったフラグが設定されたプロファイル済みプロセスに制限する。

標準プロセスにはアクセスできないため、実行可能ファイルを読み取り専用権限で登録する IOCTL 0x82AC0054 を介した設定操作が必要になる。この手順により、サンドボックス下で動作する exploit.exe を生成し、クラッシュを誘発して攻撃動作の再現を確認できる。

このハンドラには他の欠陥も存在する。具体的には、文字列長計算と割り当てのループ処理におけるダブルフェッチと、プロセス終了時の snprintf 誤用によるワイド文字列の固定バッファへのコピーである。

また、pData の亜種は、memcpy 実行前の個別サイズ調整反復において同様のパターンを生じ、無効ポインタを介したユーザー制御が可能なオーバーフローおよび DoS 攻撃が引き起こされる。

すでに Avast はバージョン 25.3 において、構造体をカーネル・メモリにキャプチャする処理を追加し、初期 Length の値を再利用する設計に改めた。さらに、固定バッファに対するサイズチェックとポインタ検証を導入し、この脆弱性に対処している。

脆弱性 CVE-2025-13032 は、CVSS v3.1 で 9.9 (Critical) と評価されている。その理由は、攻撃の複雑性が低く、必要権限が少ないことに加えて、スコープ変更により CIA への影響が最大化する点にある。SAFA は最新 Windows 11 環境で LPE を実証し、サンドボックス化された状態でも攻撃が成立することを示した。

ユーザー組織にとって必要なことは、速やかなアップデートの実施／ローカル権限の制限／監査ログでの権限昇格の試みの確認である。それが示唆するのは、防御策を講じている場合であっても、このアンチウイルス・カーネル・ドライバには、依然としてリスクが存在することである。

Avast のドライバで発見された脆弱性は、IOCTL 処理の途中で長さ情報を二重に取得してしまうダブルフェッチに起因し、攻撃者にメモリの書き換えを許す可能性があるものです。本来であれば、カーネル側で厳密に扱うべきデータがユーザー側から操作できてしまうため、SYSTEM 権限にまで影響が及ぶ点が懸念されると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Avast での検索結果も、ご参照ください。