В GitHub вече е публично достъпен доказателствен експлойт за локално повишаване на привилегиите, който засяга поне седем производители на оригинално оборудване (OEM) за Android. Тъй като обаче експлойтът изисква локален достъп, публикуването му ще бъде полезно най-вече за изследователите.
Проследен като CVE-2023-45779, недостатъкът е открит от Red Team X на Meta в началото на септември 2023 г. и е отстранен в актуализацията на сигурността на Android от декември 2023 г., без да се разкриват подробности, които нападателят може да използва, за да го разпознае и използва.
Уязвимостта съществува поради несигурното подписване на модулите APEX с помощта на тестови ключове, което позволява на нападателите да прокарват злонамерени актуализации на компонентите на платформата, водещи до локално повишаване на привилегиите.
Въпреки че уязвимостта не може да се експлоатира директно от разстояние, тя подчертава слабостите в документацията на Compatibility Test Suite (CTS) и Android Open Source Project (AOSP), които Google планира да отстрани в предстоящата версия на Android 15.
Устройствата, които са получили ниво на кръпка за сигурност на Android 2023-12-05, са защитени срещу CVE-2023-45779.
Том Хеб от Meta публикува статия, в която обяснява, че проблемът се крие в подписването на модулите APEX, като се използват публично достъпни тестови ключове от AOSP.
Модулите APEX дават възможност на производителите на оригинално оборудване да пускат актуализации на конкретни системни компоненти, без да издават пълна актуализация по въздуха (OTA), което прави пакетите с актуализации по-оскъдни и по-лесни за тестване и предоставяне на крайните потребители.
Тези модули трябва да бъдат подписани с частен ключ, известен само на ОЕМ, създаден по време на процеса на изграждане. Използването на същия публичен ключ, който се намира в дървото за изграждане на изходния код на Android, обаче означава, че всеки би могъл да фалшифицира актуализации на критични системни компоненти.
Такива актуализации биха могли да дадат на атакуващите повишени привилегии в устройството, заобикаляйки съществуващите механизми за сигурност и водейки до пълно компрометиране.
CVE-2023-45779 засяга много производители на оригинално оборудване, включително ASUS (тестван на Zenfone 9), Microsoft (Surface Duo 2), Nokia (G50), Nothing (Phone 2), VIVO (X90 Pro), Lenovo (Tab M10 Plus) и Fairphone (5).
Горепосочените модели засягат само тестовото покритие, така че множество, ако не всички, модели от тези седем OEM производители вероятно са уязвими към CVE-2023-45779. Бюлетинът на Fairphone по въпроса потвърждава това.
Хеб казва, че причината множество OEM производители да пропуснат проблема със сигурността е многостранна, включително опасни настройки по подразбиране в AOSP, неадекватна документация и недостатъчно покритие от CTS, което не е успяло да открие използването на тестови ключове в APEX сигнатурите.
Производителите на оригинално оборудване, чиито модели устройства бяха тествани от анализаторите на Meta и беше потвърдено, че не са уязвими към CVE-2023-45779 благодарение на използването на частни ключове, са Google (Pixel), Samsung (Galaxy S23), Xiaomi (Redmi Note 12), OPPO (Find X6 Pro), Sony (Xperia 1 V), Motorola (Razr 40 Ultra) и OnePlus (10T).
Изследователите публикуваха експлойт за CVE-2023-45779 в GitHub, с което го направиха широко достъпен, но това не означава, че потребителите, които все още не са получили поправка, трябва да са особено притеснени.
Обикновено за експлоатирането на дефекта е необходим физически достъп до целевото устройство и известен опит в използването на „adb shell“, така че PoC е предназначен предимно за изследване и валидиране на смекчаването.
Въпреки това, както сме виждали многократно, винаги съществува възможност експлойтът да бъде използван като част от верига от експлойти за повишаване на привилегиите на вече компрометирано устройство.
Ако вашето устройство с Android работи с нещо по-старо от ниво на кръпка на сигурността на Android 2023-12-05, обмислете преминаване към активно поддържана дистрибуция или ъпгрейд към по-нов модел.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
