Awas! Celah Sandbox di Avast Antivirus Bisa Dipakai Hacker untuk Eskalasi Privilege

bacatutorial /

Awas! Celah Sandbox di Avast Antivirus Bisa Dipakai Hacker untuk Eskalasi PrivilegeKalau kamu merasa sudah aman hanya karena memakai antivirus populer seperti Avast, ada baiknya baca temuan terbaru ini. Tim peneliti keamanan dari SAFA menemukan empat celah berbahaya di Avast Antivirus—dan semuanya mengarah pada satu komponen penting: driver kernel aswSnx.

Baca Juga : Mengatasi Laptop Boros Ram Saat Baru Dinyalakan: Wajib Kamu Coba

Celah ini tidak main-main, karena bisa dipakai penyerang lokal untuk meningkatkan privilege hingga ke level SYSTEM di Windows 11. Artinya, begitu celah ini dieksploitasi, hacker dapat memperoleh kendali penuh atas perangkat korban.

Apa yang Sebenarnya Terjadi?

Penelitian ini berfokus pada implementasi sandbox Avast, yaitu fitur yang seharusnya bertugas mengisolasi proses yang dianggap tidak aman. Di sinilah masalah mulai ditemukan.

Untuk mencapai jalur kode yang rentan, tim SAFA harus memahami dan “mengakali” bagaimana Avast membuat profil sandbox kustomnya.

Yang menarik, handler IOCTL paling kritis dalam driver aswSnx hanya dapat diakses oleh proses yang berjalan di dalam sandbox, bukan oleh proses user biasa. Itu berarti, siapa pun yang bisa masuk ke sandbox akan punya akses ke fungsi yang jauh lebih sensitif.

Kenapa Driver aswSnx Jadi Sasaran Utama?

Saat menganalisis driver dan antarmuka IOCTL milik Avast, para peneliti melihat bahwa aswSnx adalah target yang paling masuk akal. Alasannya sederhana: jumlah IOCTL handler yang dapat diakses user sangat banyak.

Dari sinilah masalah-masalah serius muncul. SAFA menemukan bahwa beberapa handler ini tidak memvalidasi data dari user space dengan benar, sehingga data itu ikut terbawa ke kernel tanpa pengecekan yang memadai.

Salah satu temuan utama adalah kondisi “double fetch”, yaitu ketika panjang string yang dikirim user dapat berubah di antara proses validasi, alokasi, dan penyalinan. Celah ini memungkinkan terjadinya kernel heap overflow yang dapat dikontrol sepenuhnya oleh penyerang.

Selain itu, ditemukan juga penggunaan fungsi string yang tidak aman serta pointer yang tidak divalidasi sebelum digunakan. Ini bisa dimanfaatkan untuk menimbulkan serangan local denial-of-service (DoS).

Dampak Temuan: Empat Overflow dan Dua DoS

Secara total, SAFA melaporkan:

  • 4 celah kernel heap overflow, dan

  • 2 celah DoS lokal

semuanya memengaruhi Avast versi 25.2.9898.0, dan kemungkinan juga memengaruhi produk Gendigital lainnya yang memakai kode driver serupa.

Dengan kata lain, celah ini bukan hanya masalah untuk pengguna Avast, tetapi juga produk-produk lain yang berbagi arsitektur yang sama.

Bagaimana Cara Mengeksploitasinya?

Eksploitasi tidak terjadi begitu saja. Ada langkah-langkah tertentu yang harus dilakukan penyerang:

  1. Mendaftarkan proses yang sudah dikontrol penyerang ke dalam sandbox Avast.
    Ini dilakukan melalui IOCTL khusus yang dipakai untuk memperbarui konfigurasi sandbox.

  2. Setelah berhasil masuk sandbox, barulah penyerang bisa memicu IOCTL yang rentan dan memanfaatkan celah double fetch maupun heap overflow lainnya.

Jika berhasil, privilege akan meningkat hingga level SYSTEM, level tertinggi dalam sistem operasi Windows. Pada titik ini, penyerang bisa melakukan hampir apa pun, mulai dari memasang backdoor, mencuri data, hingga mematikan sistem keamanan.

Respon Avast

Kabarnya, Avast bergerak cukup sigap. Begitu laporan diterima, mereka langsung menyiapkan patch untuk memperbaiki pola double fetch, menambahkan pengecekan batas (bounds checking) yang benar pada operasi string, dan memastikan semua pointer divalidasi sebelum digunakan.

Menurut timeline dari SAFA, sebagian besar celah ini telah diperbaiki sekitar 12 hari setelah laporan diterima. CVE-2025-13032 sendiri resmi dipublikasikan pada 11 November 2025.

Pelajaran Penting dari Temuan Ini

Tim SAFA menegaskan bahwa temuan ini menunjukkan satu hal:
Bahkan tools keamanan yang populer dan banyak dipercaya pun masih bisa memiliki celah serius, terutama jika komponen kernel-nya tidak diuji secara ketat.

Dengan kombinasi pemeriksaan manual dan teknik analisis baru, mereka berhasil mengungkap bug yang tidak terdeteksi sebelumnya di driver yang seharusnya menjaga keamanan sistem.

Apa yang Harus Dilakukan Pengguna?

Kalau kamu pengguna Avast atau produk lain yang menggunakan driver serupa, langkah paling aman adalah:

  • Pastikan antivirus kamu sudah diperbarui ke versi terbaru.
    Patch untuk celah ini sudah dirilis, jadi update menjadi hal yang wajib.

  • Hindari menjalankan file mencurigakan, bahkan di sandbox, karena eksploitasi membutuhkan akses dari dalam sandbox itu sendiri.

  • Perhatikan perilaku sistem—misalnya CPU tinggi tanpa alasan, proses tidak dikenal, atau servis yang tiba-tiba aktif. Ini bisa jadi tanda privilege escalation.

Baca Juga : 6 Cara Memperbaiki Tidak Bisa Akses ke Situs Tertentu

Keamanan bukan hanya soal memakai antivirus, tapi juga soal memastikan perangkat lunak yang kita gunakan benar-benar terlindungi. Temuan SAFA ini jadi pengingat penting bahwa bahkan lapisan perlindungan yang kita anggap aman pun bisa memiliki celah.

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *