Les Etats Unis. Agence de la cybersécurité et de la sécurité des infrastructures (CISA) a émis un avertissement concernant l'exploitation active de la vulnérabilité des appareils Samsung de gravité moyenne, suivi en tant que CVE-2023-21492 et score 4.4 sur CVSS. Le problème affecte les appareils Samsung exécutant des versions Android 11, 12, et 13.
Qu'est-ce que CVE-2023-21492?
La description technique officielle dit que “Les pointeurs du noyau sont imprimés dans le fichier journal avant SMR May-2023 Release 1” permettant ainsi à un attaquant local privilégié de contourner ASLR. L'ASLR est une mesure préventive qui masque les emplacements de mémoire exécutables contre la corruption de la mémoire et exécution de code défauts.
D'après Samsung, un attaquant avec des privilèges peut lancer une exploitation en contournant la randomisation de l'espace d'adressage (ASLR) protections de sécurité dans lesdites versions Android.
Apparemment, la vulnérabilité a été découverte en privé en janvier 17, 2023, et exploiter car il existait à l'état sauvage depuis lors. Il n'y a pas d'autres détails concernant son abus, pourtant, des enregistrements antérieurs montrent que des logiciels malveillants ont été distribués via des appareils Samsung dans le passé.
Selon la recherche Google Project Zero, En août 2020, une attaque MMS à distance sans clic a été effectuée, exécution de code réussie via deux vulnérabilités d'écrasement de tampon dans la bibliothèque Quram qmg (SVE-2020-16747 et SVE-2020-17675).
CISA a ajouté la faille à ses vulnérabilités exploitées connues (KEV) catalogue, aux côtés de deux bogues Cisco IOS (CVE-2004-1464 et CVE-2016-6415), et ordonne le pouvoir exécutif civil fédéral (FCEB) agences pour le patcher avant juin 9, 2023. L'agence a également ajouté sept autres défauts au catalogue KEV, dont la plus ancienne est une vulnérabilité Linux vieille de 13 ans (CVE-2010-3904) conduisant à une escalade d'opérations non privilégiées.
Les experts de Google Project Zero ont confirmé que la faille de sécurité de Samsung avait été découverte par Clément Lecigne du Google Threat Analysis Group (ÉTIQUETTE). Cela étaye les indices de son exploitation pour une campagne de spyware.