CISA alerta sobre falha de desvio de ASLR da Samsung explorada em ataques

CISA alerta sobre falha de desvio de ASLR da Samsung explorada em ataques. ASLR é um recurso de segurança do Android que randomiza os endereços de memória onde os principais aplicativos e componentes do sistema operacional são carregados na memória do dispositivo.

A CISA alertou hoje sobre uma vulnerabilidade de segurança que afeta os dispositivos Samsung usados ​​em ataques para contornar a proteção ASLR (Address Space Layout Randomization) do Android.

Isso torna mais difícil para os invasores explorar vulnerabilidades relacionadas à memória e lançar com êxito ataques como estouro de buffer, programação orientada a retorno ou outras explorações baseadas em memória.

A falha ( CVE-2023-21492 ) afeta os dispositivos móveis Samsung com Android 11, 12 e 13 e ocorre devido à inserção de informações confidenciais em arquivos de log.

As informações expostas podem ser usadas por invasores locais com altos privilégios para conduzir um desvio de ASLR que pode permitir a exploração de problemas de gerenciamento de memória.

Nas atualizações de segurança deste mês, a Samsung abordou esse problema garantindo que os ponteiros do kernel não sejam mais impressos em arquivos de log.

A Samsung foi notificada de que existia uma exploração para esse problema“,  disse a empresa  no comunicado de maio de 2023 Security Maintenance Release (SMR).

Abusado para instalar spyware mercenário 

Embora a Samsung não tenha fornecido detalhes sobre a exploração do CVE-2023-21492, essa vulnerabilidade de segurança foi usada como parte de uma complexa cadeia de exploração em ataques altamente direcionados direcionados a usuários da Samsung nos Emirados Árabes Unidos (EAU).

Como o Threat Analysis Group (TAG) do Google e a Anistia Internacional revelaram em março, duas séries recentes de ataques  empregando cadeias de exploração de falhas do Android, iOS e Chrome para instalar spyware comercial, com um deles abusando do bug CVE-2023-21492.

Os invasores implantaram um pacote de spyware Android baseado em C++ capaz de descriptografar e extrair dados de vários aplicativos de bate-papo e navegador.

As cadeias de exploração foram identificadas pelas descobertas do Laboratório de Segurança da Anistia Internacional, que também compartilhou detalhes sobre os domínios e a infraestrutura empregados nos ataques.

A campanha de spyware recém-descoberta está ativa desde pelo menos 2020 e tem como alvo dispositivos móveis e de desktop, incluindo usuários do sistema operacional Android do Google”,  informou a Anistia Internacional .

O spyware e exploits de dia zero foram entregues a partir de uma extensa rede de mais de 1.000 domínios maliciosos, incluindo domínios que falsificam sites de mídia em vários países”.

Agências federais ordenadas a corrigir até 9 de junho

As Agências Federais do Poder Executivo Civil dos EUA (FCEB) receberam um prazo de três semanas, até 9 de junho, para proteger seus dispositivos Samsung Android contra ataques que exploram o CVE-2023-21492 depois que a CISA adicionou a vulnerabilidade na sexta-feira ao seu catálogo de vulnerabilidades exploradas conhecidas .

Isso está de acordo com uma  diretiva operacional vinculativa (BOD 22-01)  emitida em novembro de 2021, exigindo que as agências federais resolvam todas as falhas adicionadas à lista KEV da CISA antes que o prazo expire.

Embora destinado principalmente às agências federais dos EUA, é altamente recomendável que as empresas privadas também priorizem a abordagem de vulnerabilidades listadas na lista de bugs explorados em ataques da agência de segurança cibernética.

Esses tipos de vulnerabilidades são vetores de ataque frequentes para cibercriminosos e representam riscos significativos para a empresa federal”,  disse a CISA .

Há uma semana, as agências federais dos EUA  também receberam ordens  de corrigir um bug Ruckus crítico de execução remota de código (RCE) usado para infectar pontos de acesso Wi-Fi com o malware AndoryuBot.

Atualização: Adicionadas mais informações sobre ataques que exploram CVE-2023-2149.

Fonte: BleepingComputer

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Para onde foram todos os especialistas? | Minuto da Segurança da Informação
  2. Saqueando o CACHE.DB do Aplicativo iOS | Minuto da Segurança da Informação
  3. Armazenamento em nuvem e a melhor forma de proteger dados | Minuto da Segurança da Informação

Deixe sua opinião!