CISA alerta sobre falha de desvio de ASLR da Samsung explorada em ataques

25/05/2023 mindsecblog Notícias 3

CISA alerta sobre falha de desvio de ASLR da Samsung explorada em ataques. ASLR é um recurso de segurança do Android que randomiza os endereços de memória onde os principais aplicativos e componentes do sistema operacional são carregados na memória do dispositivo.

A CISA alertou hoje sobre uma vulnerabilidade de segurança que afeta os dispositivos Samsung usados em ataques para contornar a proteção ASLR (Address Space Layout Randomization) do Android.

Isso torna mais difícil para os invasores explorar vulnerabilidades relacionadas à memória e lançar com êxito ataques como estouro de buffer, programação orientada a retorno ou outras explorações baseadas em memória.

A falha ( CVE-2023-21492 ) afeta os dispositivos móveis Samsung com Android 11, 12 e 13 e ocorre devido à inserção de informações confidenciais em arquivos de log.

As informações expostas podem ser usadas por invasores locais com altos privilégios para conduzir um desvio de ASLR que pode permitir a exploração de problemas de gerenciamento de memória.

Nas atualizações de segurança deste mês, a Samsung abordou esse problema garantindo que os ponteiros do kernel não sejam mais impressos em arquivos de log.

“A Samsung foi notificada de que existia uma exploração para esse problema“, disse a empresa no comunicado de maio de 2023 Security Maintenance Release (SMR).

Abusado para instalar spyware mercenário

Embora a Samsung não tenha fornecido detalhes sobre a exploração do CVE-2023-21492, essa vulnerabilidade de segurança foi usada como parte de uma complexa cadeia de exploração em ataques altamente direcionados direcionados a usuários da Samsung nos Emirados Árabes Unidos (EAU).

Como o Threat Analysis Group (TAG) do Google e a Anistia Internacional revelaram em março, duas séries recentes de ataques empregando cadeias de exploração de falhas do Android, iOS e Chrome para instalar spyware comercial, com um deles abusando do bug CVE-2023-21492.

Os invasores implantaram um pacote de spyware Android baseado em C++ capaz de descriptografar e extrair dados de vários aplicativos de bate-papo e navegador.

As cadeias de exploração foram identificadas pelas descobertas do Laboratório de Segurança da Anistia Internacional, que também compartilhou detalhes sobre os domínios e a infraestrutura empregados nos ataques.

“A campanha de spyware recém-descoberta está ativa desde pelo menos 2020 e tem como alvo dispositivos móveis e de desktop, incluindo usuários do sistema operacional Android do Google”, informou a Anistia Internacional .

“O spyware e exploits de dia zero foram entregues a partir de uma extensa rede de mais de 1.000 domínios maliciosos, incluindo domínios que falsificam sites de mídia em vários países”.

Agências federais ordenadas a corrigir até 9 de junho

As Agências Federais do Poder Executivo Civil dos EUA (FCEB) receberam um prazo de três semanas, até 9 de junho, para proteger seus dispositivos Samsung Android contra ataques que exploram o CVE-2023-21492 depois que a CISA adicionou a vulnerabilidade na sexta-feira ao seu catálogo de vulnerabilidades exploradas conhecidas .

Isso está de acordo com uma diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2021, exigindo que as agências federais resolvam todas as falhas adicionadas à lista KEV da CISA antes que o prazo expire.

Embora destinado principalmente às agências federais dos EUA, é altamente recomendável que as empresas privadas também priorizem a abordagem de vulnerabilidades listadas na lista de bugs explorados em ataques da agência de segurança cibernética.

“Esses tipos de vulnerabilidades são vetores de ataque frequentes para cibercriminosos e representam riscos significativos para a empresa federal”, disse a CISA .

Há uma semana, as agências federais dos EUA também receberam ordens de corrigir um bug Ruckus crítico de execução remota de código (RCE) usado para infectar pontos de acesso Wi-Fi com o malware AndoryuBot.

Atualização: Adicionadas mais informações sobre ataques que exploram CVE-2023-2149.