Investigadores de seguridad del equipo SAFA han descubierto cuatro vulnerabilidades de desbordamiento de montón del kernel en Avast Antivirus, todas rastreadas hasta el controlador del kernel aswSnx.

Las fallas, ahora rastreadas colectivamente como CVE-2025-13032, podrían permitir a un atacante local escalar privilegios a SYSTEM en Windows 11 si se explotan con éxito.

La investigación se centró en la implementación del sandbox de Avast, un componente diseñado para aislar procesos no confiables.

Avast Vulnerabilidad de Escape del Sandbox

Para llegar a los caminos de código vulnerables, el equipo primero tuvo que entender y manipular el perfil de sandbox personalizado de Avast.

Dado que los controladores IOCTL más críticos en aswSnx son accesibles solo para procesos en sandbox, y no para procesos de usuario regulares.

Al analizar los controladores del kernel de Avast y las interfaces IOCTL, los investigadores identificaron aswSnx como el objetivo más prometedor debido a su gran número de controladores IOCTL accesibles para el usuario.

Dentro de estos controladores, SAFA encontró varios casos en los que los datos controlados por el usuario desde el espacio de usuario se manejaban incorrectamente en el espacio del kernel.

En particular, múltiples condiciones de “doble obtención” permitieron cambiar la longitud de las cadenas proporcionadas por el usuario entre la validación, la asignación y las operaciones de copia, lo que provocó desbordamientos de montón del kernel controlados.

Problemas adicionales incluyeron el uso inseguro de funciones de cadena y la falta de validación de punteros, lo que podría explotarse para causar ataques de denegación de servicio locales.

En total, el equipo informó cuatro vulnerabilidades de desbordamiento de montón del kernel y dos problemas de DoS del sistema local que afectan a Avast 25.2.9898.0 y posiblemente a otros productos de Gendigital que comparten el mismo código de controlador.

Explotar estos errores requirió primero registrar un proceso controlado por el atacante en el sandbox de Avast a través de un IOCTL específico que actualiza la configuración del sandbox.

Una vez dentro del sandbox, el atacante podría activar los IOCTL vulnerables y lograr una escalada de privilegios local a SYSTEM. Avast respondió rápidamente, emitiendo parches que corrigieron los patrones de doble obtención.

Haz cumplir la comprobación de límites adecuada en las operaciones de cadena y agrega las comprobaciones de validez faltantes antes de la referencia de punteros de usuario.

De acuerdo con la línea de tiempo compartida por SAFA, la mayoría de las vulnerabilidades se corrigieron en aproximadamente 12 días después de la aceptación inicial, con CVE-2025-13032 publicado oficialmente el 11 de noviembre de 2025.

El equipo de SAFA dice que estos hallazgos demuestran que todavía se pueden descubrir fallas graves del kernel en herramientas de seguridad ampliamente utilizadas a través de comprobaciones manuales cuidadosas y técnicas innovadoras.