Avast Premium Security 驱动漏洞使本地权限提升成为可能

执行摘要

Avast Premium Security的自我保护驱动程序中存在一个高严重性的本地权限提升（LPE）漏洞，可能允许经过身份验证的攻击者在被入侵的Windows主机上获得SYSTEM级别的权限。这个漏洞被追踪为CVE-2026-5424，并由趋势科技的零日计划（ZDI）分配了一个CVSS v3.1基础得分7.8，漏洞源于内核模式驱动程序中暴露的一个危险功能。成功利用此漏洞需要攻击者首先获得在目标系统上执行低权限代码的能力。

技术分析

漏洞存在于genkprot.sys驱动程序中，这是Avast Premium Security自我保护机制的核心组件，旨在保护防病毒进程和注册表键不被篡改。根据ZDI的咨询（ZDI-26-271），该驱动程序通过其I/O控制（IOCTL）接口不当地暴露了一个函数，该函数提供了直接写入任意位置的能力。这个函数缺乏适当的验证，允许低权限用户调用它并将任意数据写入任意内核内存地址。

这种类型的漏洞是一个典型的驱动程序接口保护不力的例子。通过允许用户模式进程对内核进行控制写入，攻击者可以破坏关键数据结构以提升权限。攻击路径通常涉及覆盖内存中的令牌值，使其成为SYSTEM用户或类似的高完整性账户。ZDI咨询指出，特定的漏洞是一个“暴露的危险函数”漏洞，这是一个类别，如果驱动程序提供的函数可以从用户空间访问而没有严格的保护措施，那么这个函数本质上是不安全的。

入侵指标

目前没有识别出任何入侵指标。这是一个漏洞披露，不是活跃利用的报告。缺乏已知的IOC并不妨碍未来的武器化。

战术、技术与程序

如果被利用，这个漏洞将与以下MITRE ATT&CK技术对齐：

• TA0004: 权限提升 – 漏洞利用的主要目标。
• T1068: 利用权限提升 – 利用驱动程序漏洞以获得更高权限。
• T1547.006: 启动或登录自动启动执行：内核模块和扩展 – 漏洞存在于内核驱动程序中，该驱动程序在启动时加载。
• T1574.012: 劫持执行流程：COR_PROFILER – 虽然不是直接匹配，劫持受信任的软件组件（如安全驱动程序）的技术在概念上是类似的。 攻击者首先需要通过其他方式（例如，网络钓鱼，利用另一个应用程序漏洞）在目标机器上建立立足点，以标准用户身份运行代码，然后利用这个漏洞来完全控制系统。

威胁行为者背景

截至本文撰写时，没有公开证据将CVE-2026-5424与任何特定的威胁行为者或活跃的利用活动联系起来。然而，安全软件中的本地权限提升漏洞受到高级持续性威胁（APT）小组和勒索软件运营商的高度追捧。这些漏洞经常被整合到后期利用工具包中，以巩固对被入侵主机的控制，禁用安全软件，并执行横向移动。该驱动程序由Avast Software s.r.o.数字签名，这将使恶意代码具有合法性的外表。

缓解措施与建议

主要的缓解措施是应用供应商提供的补丁。使用Avast Premium Security的用户应确保他们的软件更新到最新版本，其中包含了修复。Avast通常通过其流更新机制自动部署此类更新。 组织应该：

1. 验证所有运行Avast Premium Security的端点都已接收到最新更新。
2. 实施最小权限原则，限制具有本地管理权限的用户数量，从而减少成功本地权限提升的潜在影响。
3. 监控意外的内核模式驱动程序加载或来自Avast进程的不寻常活动，尽管由于驱动程序的合法性质，这可能具有挑战性。 作为一般安全实践，组织应考虑部署利用保护措施，如微软的攻击面减少（ASR）规则和Windows Defender Exploit Guard，这可以帮助缓解某些类型的内核利用。