Các nhà nghiên cứu bảo mật từ đội ngũ SAFA đã phát hiện bốn **lỗ hổng kernel heap overflow** trong sản phẩm Avast Antivirus. Tất cả các lỗ hổng này đều được truy vết đến trình điều khiển kernel aswSnx.

Những **lỗ hổng CVE** này, hiện được theo dõi chung dưới mã định danh CVE-2025-13032, có thể cho phép kẻ tấn công cục bộ (local attacker) **khai thác đặc quyền** lên cấp độ SYSTEM trên hệ điều hành Windows 11 nếu khai thác thành công.

Phân tích Kỹ thuật **Lỗ hổng CVE** và Cơ chế Khai thác

Bối cảnh Nghiên cứu Sandbox của Avast

Nghiên cứu tập trung vào việc triển khai tính năng sandbox của Avast. Đây là một thành phần quan trọng được thiết kế để cô lập các tiến trình không đáng tin cậy.

Để tiếp cận các đường dẫn mã dễ bị tổn thương, nhóm nghiên cứu đã phải hiểu và thao tác với cấu hình sandbox tùy chỉnh của Avast.

Các handler IOCTL quan trọng nhất trong trình điều khiển aswSnx chỉ có thể truy cập được bởi các tiến trình nằm trong sandbox, chứ không phải các tiến trình người dùng thông thường.

Điều này đòi hỏi một quy trình đặc biệt để kẻ tấn công có thể tương tác với các thành phần dễ bị tổn thương.

Xác định Mục tiêu và Khám phá Lỗ hổng Kernel Heap Overflow

Bằng cách phân tích các trình điều khiển kernel và giao diện IOCTL của Avast, các nhà nghiên cứu đã xác định aswSnx là mục tiêu tiềm năng nhất.

Lý do là trình điều khiển này có số lượng lớn các handler IOCTL mà người dùng có thể truy cập được.

Trong số các handler này, đội ngũ SAFA đã tìm thấy nhiều trường hợp dữ liệu được kiểm soát bởi người dùng từ không gian người dùng (user space) bị xử lý không đúng cách trong không gian kernel (kernel space).

Đặc biệt, nhiều tình trạng “double fetch” đã cho phép thay đổi độ dài của các chuỗi do người dùng cung cấp giữa các thao tác kiểm tra, cấp phát và sao chép.

Điều này dẫn đến các tình huống **kernel heap overflow** có kiểm soát, một kiểu **lỗ hổng CVE** nghiêm trọng.

Các vấn đề bổ sung bao gồm việc sử dụng không an toàn các hàm chuỗi và thiếu kiểm tra con trỏ.

Những thiếu sót này có thể bị khai thác để gây ra các cuộc tấn công từ chối dịch vụ cục bộ (local denial-of-service – DoS).

Ảnh hưởng và Phương thức **Khai thác Đặc quyền**

Các Lỗ hổng Được Phát hiện và Ảnh hưởng

Tổng cộng, nhóm nghiên cứu đã báo cáo **bốn lỗ hổng kernel heap overflow** và **hai vấn đề DoS hệ thống cục bộ**.

Các lỗ hổng này ảnh hưởng đến phiên bản Avast 25.2.9898.0 và có khả năng các sản phẩm Gendigital khác sử dụng cùng mã trình điều khiển.

Mức độ nghiêm trọng của các lỗi này được thể hiện qua khả năng dẫn đến **khai thác đặc quyền** toàn hệ thống.

Quy trình Khai thác để Chiếm quyền Điều khiển

Để khai thác các lỗi này, kẻ tấn công trước tiên cần đăng ký một tiến trình do mình kiểm soát vào sandbox của Avast.

Việc này được thực hiện thông qua một IOCTL cụ thể cho phép cập nhật cấu hình sandbox.

// Đoạn mã giả định cho việc cập nhật cấu hình sandbox
// Đây là ví dụ minh họa, mã thực tế sẽ phức tạp hơn và phụ thuộc vào API của Avast
#define IOCTL_UPDATE_SANDBOX_CONFIG 0xDEADBEEF

HANDLE hDevice = CreateFile(
    L"\\.\aswSnx", 
    GENERIC_READ | GENERIC_WRITE, 
    0, 
    NULL, 
    OPEN_EXISTING, 
    FILE_ATTRIBUTE_NORMAL, 
    NULL
);

if (hDevice != INVALID_HANDLE_VALUE) {
    BYTE sandbox_config_payload[BUFFER_SIZE];
    // Chuẩn bị payload để đăng ký tiến trình độc hại vào sandbox
    // ... (điền thông tin tiến trình của kẻ tấn công vào payload)

    DWORD bytesReturned;
    DeviceIoControl(
        hDevice, 
        IOCTL_UPDATE_SANDBOX_CONFIG, 
        sandbox_config_payload, 
        sizeof(sandbox_config_payload), 
        NULL, 
        0, 
        &bytesReturned, 
        NULL
    );
    CloseHandle(hDevice);
}

Một khi đã ở bên trong sandbox, kẻ tấn công có thể kích hoạt các IOCTL dễ bị tổn thương. Từ đó, đạt được **khai thác đặc quyền** cục bộ lên cấp độ SYSTEM.

Đây là một kịch bản tấn công nguy hiểm, cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống bị ảnh hưởng thông qua **lỗ hổng CVE-2025-13032**.

Biện pháp Khắc phục và Thời gian Phản hồi

Các Bản vá Bảo mật và Giải pháp của Avast

Avast đã phản ứng nhanh chóng, phát hành các bản vá để khắc phục triệt để các vấn đề này.

Các bản vá đã sửa chữa các mẫu “double-fetch”, đồng thời áp dụng kiểm tra giới hạn (bounds checking) phù hợp trên các thao tác chuỗi.

Ngoài ra, Avast cũng đã thêm các kiểm tra tính hợp lệ còn thiếu trước khi truy xuất con trỏ người dùng (dereferencing user pointers).

Những bản vá này là cực kỳ quan trọng để bảo vệ người dùng khỏi **lỗ hổng CVE** này và các nguy cơ tương tự.

Lộ trình Công khai và Bài học Rút ra từ **Lỗ hổng CVE**

Theo dòng thời gian được SAFA chia sẻ tại SAFA Intelligence Hub, hầu hết các lỗ hổng đã được khắc phục trong khoảng 12 ngày kể từ khi chấp nhận báo cáo ban đầu.

**CVE-2025-13032** chính thức được công bố vào ngày 11 tháng 11 năm 2025.

Đội ngũ SAFA nhấn mạnh rằng những phát hiện này cho thấy các lỗi kernel nghiêm trọng vẫn có thể được khám phá.

Ngay cả trong các công cụ bảo mật được sử dụng rộng rãi, thông qua kiểm tra thủ công cẩn thận và các kỹ thuật sáng tạo, chúng ta vẫn có thể tìm ra các **lỗ hổng CVE** tiềm ẩn.