This post is also available in: Português
A CVE-2025-13032, classificada com CVSS 9.9, é uma vulnerabilidade grave que afeta o driver de kernel do sandbox presente nos antivírus Avast e AVG, ambos desenvolvidos pela Gen Digital.
A falha decorre de uma condição de double fetch, um erro em que o kernel busca duas vezes o mesmo valor no espaço do usuário sem garantir que ele permaneça inalterado, e pode ser explorada para provocar um estouro de pool. Com isso, um atacante com acesso local consegue ampliar seus privilégios e assumir o controle completo de máquinas Windows.
Como os antivírus são amplamente utilizados em ambientes domésticos e corporativos, o risco associado é elevado e merece atenção imediata.
A empresa e o papel do sandbox no antivírus
A Gen Digital é uma empresa global de cibersegurança conhecida por soluções de proteção de endpoint com alcance mundial. Avast e AVG, seus produtos mais populares, empregam camadas de defesa que incluem detecção de malware, filtragem de ameaças e isolamento de atividades suspeitas.
Esse isolamento acontece por meio de um sandbox, que depende de um driver de kernel para analisar, com segurança, arquivos e comportamentos potencialmente maliciosos. É exatamente nesse driver que a vulnerabilidade se manifesta: um componente altamente privilegiado e crítico para o funcionamento seguro do sistema.
Versões e produtos afetados
O problema afeta versões do Avast e AVG anteriores à 25.3. Essas soluções compartilham a mesma base tecnológica, inclusive o driver vulnerável.
A Gen Digital informou que a correção já foi distribuída por meio de atualizações automáticas, mas dispositivos com atualizações desativadas ou ambientes com políticas restritivas de atualização podem permanecer expostos por mais tempo.
Em contextos corporativos, esse atraso é relativamente comum e precisa ser monitorado com cuidado.
Detalhes técnicos da CVE-2025-13032
O double fetch observado na CVE-2025-13032 está diretamente relacionado ao CWE-367, um padrão de vulnerabilidade em que a leitura duplicada de um valor abre espaço para alterações entre uma verificação e outra.
No caso do driver do Avast/AVG, isso significa que o kernel confia em dados fornecidos pelo usuário sem assegurar que eles não foram modificados. Se essa alteração ocorrer no momento certo, o driver executa operações incorretas ou inconsistentes, levando ao estouro de pool e permitindo a execução de código com privilégios elevados.
A exploração exige apenas acesso local ao dispositivo, o que reduz a barreira para ataques internos, movimentação lateral em redes corporativas ou execução de malware que se apoia em falhas desse tipo para ampliar seu alcance. Uma vez explorada, a vulnerabilidade compromete integralmente confidencialidade, integridade e disponibilidade, o que justifica a pontuação CVSS extremamente alta.
Impactos para empresas
Organizações que utilizam Avast ou AVG em seus endpoints podem enfrentar riscos significativos. Um invasor que obtenha acesso local, mesmo com permissões limitadas, pode transformar essa vulnerabilidade em um caminho direto para o controle completo de estações de trabalho ou servidores Windows.
Isso favorece ataques de ransomware, persistência avançada, evasão de mecanismos de defesa e escalonamento de privilégios para operações mais destrutivas.
O fato de a falha estar localizada em um componente de segurança torna o cenário ainda mais crítico, pois enfraquece a confiabilidade da própria ferramenta encarregada de proteger o ambiente.
Mitigações e práticas recomendadas
A principal ação é atualizar imediatamente para a versão 25.3 ou superior dos antivírus afetados. Essa atualização corrige o comportamento do driver e impede que o double fetch seja explorado. Além disso, é importante confirmar se as políticas de atualização automática estão habilitadas e funcionando corretamente, algo que costuma falhar em redes corporativas mais complexas.
Também é prudente revisar permissões de usuários locais, observar sinais de atividade anômala e verificar se soluções complementares, como EDR, estão funcionando em plena capacidade. Em ambientes críticos, camadas extras de monitoramento e segmentação de rede podem reduzir o impacto de uma eventual exploração.
A CVE-2025-13032 mostra como vulnerabilidades em componentes sensíveis, especialmente drivers de kernel utilizados por antivírus, podem gerar riscos severos para empresas e usuários.
Como o vetor de ataque depende apenas de acesso local, a correção imediata se torna essencial para evitar comprometimentos mais profundos. Manter as soluções Avast e AVG atualizadas e reforçar boas práticas de segurança ajuda a mitigar o problema e reduzir a superfície de ataque.
This post is also available in: Português
