CISA Alerta sobre Falha de Segurança em Dispositivos Samsung, Permitindo Bypass do ASLR do Android

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou sobre uma falha de segurança que afeta dispositivos Samsung. Os dispositivos têm sido usados em ataques para contornar a proteção de randomização do layout do espaço de endereços do Android.

Para começar, a proteção de randomização do layout do espaço de endereços do Android (ASLR) é um procedimento de proteção de memória para sistemas operacionais que protege contra ataques de estouro de buffer, randomizando a localização onde os executáveis do sistema estão localizados na memória.

ASLR é capaz de colocar alvos de espaço de endereços em uma localização randomizada. se o atacante tentar utilizar uma localização de espaço de endereços errada, o aplicativo irá travar, interrompendo o ataque e notificando o sistema.

Seguindo em frente, a vulnerabilidade de segurança identificada como (CVE-20223-21492) afeta dispositivos Samsung que executam Android 11, 12 e 13. Isso se deve à posição de informações sensíveis em arquivos de log. As informações podem ser usadas por atacantes locais com altos privilégios para realizar um bypass do ALSR, o que permitiria a utilização de problemas de gerenciamento de memória.

Leia: Ator de Ameaça Explora Microsoft Azure para Ganhar Acesso a Máquinas Virtuais

Embora a Samsung tenha abordado essa questão em suas atualizações de segurança mensais e garantido que os ponteiros do kernel não sejam mais impressos nos arquivos de log. A Samsung afirma, em seu aviso de Lançamento de Manutenção de Segurança de Maio de 2023 (SMR), que a empresa foi informada sobre a vulnerabilidade existente no ambiente.

A empresa não revelou nenhuma informação sobre a exploração da CVE-20223-21492, e, como essas, falhas de segurança são frequentemente exploradas como parte de uma cadeia de exploração de sistema em atividades altamente direcionadas. Por exemplo, recentemente, duas séries de ataques foram reveladas pela Anistia Internacional e pelo próprio Grupo de Análise de Ameaças do Google.

O ataque empregado utiliza cadeias de vulnerabilidades do Android, iOS e Chrome para instalar spyware comercial, e uma dessas campanhas teve como alvo a base de usuários da Samsung nos Emirados Árabes Unidos (EAU).

Além disso, as Agências Federais Civis dos EUA receberam um prazo de três semanas, até 9 de junho, para proteger os dispositivos Android da Samsung contra os ataques que estão utilizando a CVE-20223-21492, após a CISA adicionar a falha à sua lista de Vulnerabilidades Conhecidas Exploradas.

Bem, isso está alinhado com a diretiva operacional vinculativa emitida em novembro de 2022 que exige que as agências federais abordem todas as falhas adicionadas à lista KEV da CISA antes que o prazo expire.

No entanto, isso é mais para agências federais. Dito isso, as empresas privadas também devem priorizar a abordagem das vulnerabilidades listadas nas listas de bugs explorados em ataques da agência de segurança.

Leia: ChatGPT Agora Navega na Internet para Melhorar a Precisão nas Respostas