Търсене
Close this search box.

Публикуван е експлойт за локално повишаване на Android, който засяга 7 OEM производители

В GitHub вече е публично достъпен доказателствен експлойт за локално повишаване на привилегиите, който засяга поне седем производители на оригинално оборудване (OEM) за Android. Тъй като обаче експлойтът изисква локален достъп, публикуването му ще бъде полезно най-вече за изследователите.

Проследен като CVE-2023-45779, недостатъкът е открит от Red Team X на Meta в началото на септември 2023 г. и е отстранен в актуализацията на сигурността на Android от декември 2023 г., без да се разкриват подробности, които нападателят може да използва, за да го разпознае и използва.

Уязвимостта съществува поради несигурното подписване на модулите APEX с помощта на тестови ключове, което позволява на нападателите да прокарват злонамерени актуализации на компонентите на платформата, водещи до локално повишаване на привилегиите.

Въпреки че уязвимостта не може да се експлоатира директно от разстояние, тя подчертава слабостите в документацията на Compatibility Test Suite (CTS) и Android Open Source Project (AOSP), които Google планира да отстрани в предстоящата версия на Android 15.

Устройствата, които са получили ниво на кръпка за сигурност на Android 2023-12-05, са защитени срещу CVE-2023-45779.

Несигурно подписване в APEX

Том Хеб от Meta публикува статия, в която обяснява, че проблемът се крие в подписването на модулите APEX, като се използват публично достъпни тестови ключове от AOSP.

Модулите APEX дават възможност на производителите на оригинално оборудване да пускат актуализации на конкретни системни компоненти, без да издават пълна актуализация по въздуха (OTA), което прави пакетите с актуализации по-оскъдни и по-лесни за тестване и предоставяне на крайните потребители.

Тези модули трябва да бъдат подписани с частен ключ, известен само на ОЕМ, създаден по време на процеса на изграждане. Използването на същия публичен ключ, който се намира в дървото за изграждане на изходния код на Android, обаче означава, че всеки би могъл да фалшифицира актуализации на критични системни компоненти.

Такива актуализации биха могли да дадат на атакуващите повишени привилегии в устройството, заобикаляйки съществуващите механизми за сигурност и водейки до пълно компрометиране.

CVE-2023-45779 засяга много производители на оригинално оборудване, включително ASUS (тестван на Zenfone 9), Microsoft (Surface Duo 2), Nokia (G50), Nothing (Phone 2), VIVO (X90 Pro), Lenovo (Tab M10 Plus) и Fairphone (5).

Горепосочените модели засягат само тестовото покритие, така че множество, ако не всички, модели от тези седем OEM производители вероятно са уязвими към CVE-2023-45779. Бюлетинът на Fairphone по въпроса потвърждава това.

Хеб казва, че причината множество OEM производители да пропуснат проблема със сигурността е многостранна, включително опасни настройки по подразбиране в AOSP, неадекватна документация и недостатъчно покритие от CTS, което не е успяло да открие използването на тестови ключове в APEX сигнатурите.

Производителите на оригинално оборудване, чиито модели устройства бяха тествани от анализаторите на Meta и беше потвърдено, че не са уязвими към CVE-2023-45779 благодарение на използването на частни ключове, са Google (Pixel), Samsung (Galaxy S23), Xiaomi (Redmi Note 12), OPPO (Find X6 Pro), Sony (Xperia 1 V), Motorola (Razr 40 Ultra) и OnePlus (10T).

Налична експлойт

Изследователите публикуваха експлойт за CVE-2023-45779 в GitHub, с което го направиха широко достъпен, но това не означава, че потребителите, които все още не са получили поправка, трябва да са особено притеснени.

Обикновено за експлоатирането на дефекта е необходим физически достъп до целевото устройство и известен опит в използването на „adb shell“, така че PoC е предназначен предимно за изследване и валидиране на смекчаването.

Въпреки това, както сме виждали многократно, винаги съществува възможност експлойтът да бъде използван като част от верига от експлойти за повишаване на привилегиите на вече компрометирано устройство.

Ако вашето устройство с Android работи с нещо по-старо от ниво на кръпка на сигурността на Android 2023-12-05, обмислете преминаване към активно поддържана дистрибуция или ъпгрейд към по-нов модел.

 

Източник: По материали от Интернет

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
Бъдете социални
Още по темата
08/04/2024

Google въвежда обновена мре...

Почти една година след като беше...
03/04/2024

Google поправя два нулеви д...

Google е отстранила две 0-Day  грешки...
27/03/2024

Десетки VPN приложения за A...

В десетки  безплатни VPN приложения в...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!