CISA warnt vor Sicherheitsanfälligkeit bei Samsung-Geräten, die Android ASLR-Umgehung ermöglicht

Die Cybersecurity & Infrastructure Security Agency (CISA) der USA hat vor einer Sicherheitsanfälligkeit gewarnt, die Samsung-Geräte betrifft. Die Geräte wurden in Angriffen verwendet, um den Schutz der Android Address Space Layout Randomization (ASLR) zu umgehen.

Zunächst einmal ist der Schutz der Android Address Space Layout Randomization (ASLR) ein Verfahren zum Speicherschutz für Betriebssysteme, das vor Buffer-Overflow-Angriffen schützt, indem es den Standort randomisiert, an dem Systemausführbare im Speicher abgelegt sind.

ASLR ist in der Lage, Adressraumziele an einem randomisierten Ort zu platzieren. Wenn der Angreifer versucht, einen falschen Adressraumstandort zu nutzen, wird die App abstürzen, was den Angriff stoppt und das System benachrichtigt.

Weiterhin betrifft die als (CVE-20223-21492) identifizierte Sicherheitsanfälligkeit Samsung-Handys, die mit Android 11, 12 und 13 betrieben werden. Sie ist auf die Position sensibler Informationen in Protokolldateien zurückzuführen. Diese Informationen können von lokalen Angreifern mit hohen Rechten verwendet werden, um eine ASLR-Umgehung durchzuführen, die dann die Nutzung von Speicherverwaltungsproblemen ermöglichen würde.

Lesen: Bedrohungsakteur nutzt Microsoft Azure, um Zugriff auf virtuelle Maschinen zu erhalten

Obwohl Samsung dieses Problem in seinen monatlichen Sicherheitsupdates angesprochen hat und sicherstellte, dass die Kernelzeiger nicht mehr in den Protokolldateien ausgegeben werden. Samsung sagt in seinem Sicherheitswartungsrelease-Bericht (SMR) vom Mai 2023, dass das Unternehmen über die in der Wildnis existierende Sicherheitsanfälligkeit informiert wurde.

Das Unternehmen gab keine Informationen über die Ausnutzung von CVE-20223-21492 bekannt, und solche Sicherheitsanfälligkeiten werden häufig als Teil einer Systemausnutzungs-Kette in hochgradig zielgerichteten Aktivitäten ausgenutzt. Zum Beispiel wurden kürzlich zwei Serien von Angriffen von Amnesty International und Googles eigener Threat Analysis Group aufgedeckt.

Der verwendete Angriff nutzt Ketten von Android-, iOS- und Chrome-Sicherheitsanfälligkeiten, um kommerzielle Spyware zu installieren, und eine dieser Kampagnen zielte auf die Samsung-Nutzerbasis in den Vereinigten Arabischen Emiraten (VAE).

Darüber hinaus haben die US-Bundesbehörden eine Frist von drei Wochen bis zum 9. Juni erhalten, um die Samsung Android-Handys vor den Angriffen zu sichern, die CVE-20223-21492 ausnutzen, nachdem die CISA die Anfälligkeit in ihre Liste der bekannten ausnutzbaren Sicherheitsanfälligkeiten aufgenommen hat.

Nun, dies steht im Einklang mit der verbindlichen operativen Richtlinie, die im November 2022 herausgegeben wurde und von den Bundesbehörden verlangt, alle Schwächen, die zur KEV-Liste der CISA hinzugefügt wurden, vor Ablauf der Frist zu beheben.

Dies gilt jedoch mehr für Bundesbehörden. Damit gesagt, sollten auch private Unternehmen die Behebung von Sicherheitsanfälligkeiten, die in den Listen der Sicherheitsbehörden aufgeführt sind und in Angriffen ausgenutzt werden, priorisieren.

Lesen: ChatGPT durchsucht jetzt das Internet für bessere Genauigkeit in Antworten