0
0
A CISA alertou hoje para uma vulnerabilidade de segurança que afeta dispositivos Samsung usados em ataques para contornar a proteção ASLR (Address Space Layout Randomization) do Android.
O ASLR é um recurso de segurança do Android que randomiza os endereços de memória onde os principais componentes do aplicativo e do sistema operacional são carregados na memória do dispositivo.
Isso torna mais difícil para os invasores explorar vulnerabilidades relacionadas à memória e iniciar com êxito ataques como estouro de buffer, programação orientada a retorno ou outras explorações baseadas em memória.
A falha (CVE-2023-21492) afeta os dispositivos móveis Samsung que executam Android 11, 12 e 13 e se deve a uma inserção de informações confidenciais em arquivos de log.
As informações expostas podem ser usadas por invasores locais com altos privilégios para conduzir um desvio de ASLR que pode permitir a exploração de problemas de gerenciamento de memória.
Nas atualizações de segurança deste mês, a Samsung resolveu esse problema garantindo que os ponteiros do kernel não sejam mais impressos em arquivos de log.
“A Samsung foi notificada de que existia um exploit para este problema”, diz a empresa no comunicado de maio de 2023 do Security Maintenance Release (SMR).
Abusado para instalar spyware mercenário
Embora a Samsung não tenha fornecido detalhes sobre a exploração CVE-2023-21492, essa vulnerabilidade de segurança foi usada como parte de uma cadeia de exploração complexa em ataques altamente direcionados direcionados a usuários da Samsung nos Emirados Árabes Unidos (EAU).
Como o Threat Analysis Group (TAG) do Google e a Anistia Internacional revelaram em março, duas séries recentes de ataques empregando cadeias de exploração do Android, iOS e Chrome falham para instalar spyware comercial, com um deles abusando do bug CVE-2023-21492.
Os invasores implantaram um pacote de spyware Android baseado em C++ capaz de descriptografar e extrair dados de vários aplicativos de bate-papo e navegador.
As cadeias de exploração foram detectadas pelas descobertas do Laboratório de Segurança da Anistia Internacional, que também compartilhou detalhes sobre os domínios e a infraestrutura empregados nos ataques.
“A campanha de spyware recém-descoberta está ativa desde pelo menos 2020 e teve como alvo dispositivos móveis e desktop, incluindo usuários do sistema operacional Android do Google”, informou a Anistia Internacional.
“O spyware e as explorações de dia zero foram entregues a partir de uma extensa rede de mais de 1000 domínios maliciosos, incluindo domínios que falsificam sites de mídia em vários países.”
Agências federais ordenadas a remendar até 9 de junho
As Agências Federais do Poder Executivo Civil dos EUA (FCEB) receberam um prazo de três semanas, até 9 de junho, para proteger seus dispositivos Samsung Android contra ataques que exploram CVE-2023-21492 depois que a CISA adicionou a vulnerabilidade na sexta-feira ao seu catálogo de Vulnerabilidades Exploradas Conhecidas.
Isso está de acordo com uma diretiva operacional vinculante (BOD 22-01) emitida em novembro de 2021 exigindo que as agências federais resolvam todas as falhas adicionadas à lista KEV da CISA antes que o prazo expire.
Embora se destine principalmente a agências federais dos EUA, é altamente recomendável que as empresas privadas também priorizem o tratamento das vulnerabilidades listadas na lista de bugs explorados em ataques da agência de segurança cibernética.
“Esses tipos de vulnerabilidades são vetores de ataque frequentes para agentes cibernéticos mal-intencionados e representam riscos significativos para a empresa federal”, disse a CISA.
Há uma semana, as agências federais dos EUA também receberam ordens para corrigir um bug crítico de execução remota de código (RCE) Ruckus abusado na natureza para infectar pontos de acesso Wi-Fi com o malware AndoryuBot.
Atualização: adicionadas mais informações sobre ataques que exploram CVE-2023-2149.
FONTE: BLEEPING COMPUTER