CISA предупреждает о уязвимости безопасности устройств Samsung, позволяющей обойти ASLR Android

Служба кибербезопасности и безопасности инфраструктуры США (CISA) предупредила о уязвимости безопасности, затрагивающей устройства Samsung. Эти устройства использовались в атаках для обхода защиты рандомизации расположения адресного пространства Android.

Для начала, защита рандомизации расположения адресного пространства Android (ASLR) — это процедура защиты памяти для операционных систем, которая защищает от атак переполнения буфера, рандомизируя местоположение, где находятся системные исполняемые файлы в памяти.

ASLR способна помещать целевые адресные пространства в рандомизированное местоположение. Если злоумышленник пытается использовать неправильное местоположение адресного пространства, приложение завершится с ошибкой, остановив атаку и уведомив систему.

Далее, уязвимость безопасности, идентифицированная как (CVE-20223-21492), затрагивает смартфоны Samsung, работающие на Android 11, 12 и 13. Это связано с расположением конфиденциальной информации в лог-файлах. Эта информация может быть использована местными злоумышленниками с высокими привилегиями для проведения обхода ALSR, что затем позволит использовать проблемы управления памятью.

Читать: Угроза: злоумышленник использует Microsoft Azure для получения доступа к виртуальным машинам

Хотя Samsung решила эту проблему в своих ежемесячных обновлениях безопасности и гарантировала, что указатели ядра больше не печатаются в лог-файлах. Samsung сообщает в своем уведомлении о выпуске обновлений безопасности за май 2023 года (SMR), что компания была проинформирована о существующей уязвимости.

Компания не раскрыла никакой информации о эксплуатации CVE-20223-21492, и подобные уязвимости безопасности часто используются как часть цепочки эксплуатации системы в высоко целенаправленных действиях. Например, недавно две серии атак были раскрыты Amnesty International и собственным Аналитическим центром угроз Google.

Атака использует цепочки уязвимостей Android, iOS и Chrome для установки коммерческого шпионского ПО, и одна из этих кампаний нацелилась на пользователей Samsung в Объединенных Арабских Эмиратах (ОАЭ).

Кроме того, федеральным гражданским учреждениям США был установлен трехнедельный срок до 9 июня, чтобы защитить смартфоны Samsung на Android от атак, использующих CVE-20223-21492, после того как CISA добавила уязвимость в свой список известных уязвимостей эксплуатации.

Это соответствует обязательной оперативной директиве, выданной в ноябре 2022 года, которая требует от федеральных агентств устранить все недостатки, добавленные в список KEV CISA, до истечения срока.

Тем не менее, это больше касается федеральных агентств. С учетом сказанного, частные предприятия также должны приоритизировать устранение уязвимостей, перечисленных в списках ошибок агентства безопасности, используемых в атаках.

Читать: ChatGPT теперь просматривает интернет для повышения точности ответов