Exploit lanzado para falla de elevación local de Android que afecta a 7 OEM

Iniciado por AXCESS, Febrero 01, 2024, 12:15:36 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un exploit de prueba de concepto (PoC) para una falla de elevación de privilegios local que afecta al menos a siete fabricantes de equipos originales (OEM) de Android ahora está disponible públicamente en GitHub. Sin embargo, como el exploit requiere acceso local, su lanzamiento será de gran ayuda para los investigadores.

Registrada como CVE-2023-45779, la falla fue descubierta por el Red Team X de Meta a principios de septiembre de 2023 y se solucionó en la actualización de seguridad de Android de diciembre de 2023 sin revelar detalles que un atacante podría usar para discernirla y explotarla.

La vulnerabilidad existe debido a la firma insegura de los módulos APEX mediante claves de prueba, lo que permite a los atacantes enviar actualizaciones maliciosas a los componentes de la plataforma, lo que lleva a una elevación de privilegios locales.

Aunque la vulnerabilidad no se puede explotar directamente de forma remota, resalta las debilidades en la documentación de Compatibility Test Suite (CTS) y Android Open Source Project (AOSP) que Google planea abordar en la próxima versión de Android 15.

Los dispositivos que recibieron el nivel de parche de seguridad de Android 2023-12-05 están protegidos contra CVE-2023-45779.

Firma APEX insegura

Tom Hebb de Meta publicó un artículo explicando que el problema radica en la firma de módulos APEX utilizando claves de prueba disponibles públicamente de AOSP.

Los módulos APEX permiten a los OEM impulsar actualizaciones en componentes específicos del sistema sin emitir una actualización inalámbrica (OTA) completa, lo que hace que los paquetes de actualización sean más ágiles y fáciles de probar y entregar a los usuarios finales.

Estos módulos deben firmarse con una clave privada conocida sólo por el OEM, creada durante el proceso de construcción. Sin embargo, usar la misma clave pública que se encuentra en el árbol de compilación del código fuente de Android significa que cualquiera podría falsificar actualizaciones de componentes críticos del sistema.

Estas actualizaciones podrían otorgar a los atacantes privilegios elevados en el dispositivo, evitando los mecanismos de seguridad existentes y resultando en un compromiso total.

CVE-2023-45779 afecta a muchos fabricantes de equipos originales, incluidos ASUS (probado en Zenfone 9), Microsoft (Surface Duo 2), Nokia (G50), Nothing (Phone 2), VIVO (X90 Pro), Lenovo (Tab M10 Plus) y Fairphone (5).

Los modelos anteriores se refieren únicamente a la cobertura de prueba, por lo que es probable que varios modelos, si no todos, de estos siete OEM sean vulnerables a CVE-2023-45779. El boletín de Fairphone sobre el tema lo confirma.

Hebb dice que la razón por la que varios OEM no detectaron el problema de seguridad es multifacética, incluyendo configuraciones predeterminadas inseguras en AOSP, documentación inadecuada y cobertura insuficiente por parte del CTS, que no pudo detectar el uso de claves de prueba en las firmas APEX.

Los fabricantes de equipos originales cuyos modelos de dispositivos fueron probados por los analistas de Meta y se confirmó que no eran vulnerables a CVE-2023-45779 gracias al uso de claves privadas son Google (Pixel), Samsung (Galaxy S23), Xiaomi (Redmi Note 12), OPPO (Find X6 Pro), Sony (Xperia 1 V), Motorola (Razr 40 Ultra) y OnePlus (10T).

Exploit disponible

Los investigadores lanzaron un exploit para CVE-2023-45779 en GitHub, haciéndolo ampliamente disponible, pero eso no significa que los usuarios que aún no han recibido una solución deban estar particularmente preocupados.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Normalmente, la falla requeriría acceso físico al dispositivo objetivo y cierta experiencia en el uso de 'adb shell' para explotarlo, por lo que la prueba de concepto está destinada principalmente a la investigación y la validación de la mitigación.

Sin embargo, como hemos visto varias veces, siempre existe la posibilidad de que el exploit se utilice como parte de una cadena de exploits para elevar los privilegios en un dispositivo ya comprometido.

Si su dispositivo Android ejecuta algo anterior al nivel de parche de seguridad de Android 2023-12-05, considere cambiar a una distribución con soporte activo o actualizar a un modelo más nuevo.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta