CVE-2023-20963 é uma vulnerabilidade altamente grave do Android usada como zero-day ataque.
O que é CVE-2023-20963 e por que é perigoso?
Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) lançou recentemente um aviso de alta gravidade em relação a uma vulnerabilidade do Android que se acredita ter sido explorada pelo aplicativo de comércio eletrônico chinês Pinduoduo como um ataque de dia zero. Esta falha de segurança do Android Framework, rastreado como CVE-2023-20963, permite que os invasores obtenham privilégios aprimorados em dispositivos Android não corrigidos sem exigir nenhuma interação do usuário.
De acordo com a sua descrição oficial, CVE-2023-20963 está localizado em WorkSource, onde há uma possível incompatibilidade de parcela. Isso pode levar à escalação local de privilégio sem a necessidade de privilégios de execução adicionais. A falha pode ser explorada sem interação do usuário. Versões afetadas incluem Android 11, andróide 12, Android 12L, e Android 13.
O Google respondeu emitindo atualizações de segurança em março, observando que o CVE-2023-20963 pode estar limitado, exploração direcionada. Subseqüentemente, devido à presença de malware em algumas versões não pertencentes ao Google Play do Pinduoduo, o aplicativo foi suspenso pelo Google e posteriormente investigado por pesquisadores da Kaspersky. Eles descobriram que o código malicioso estava explorando as vulnerabilidades do Android, incluindo o CVE-2023-20963, para obter acesso aos usuários’ dados e dispositivo. Igor Golovin, um pesquisador de segurança da Kaspersky, relatou que algumas versões do aplicativo Pinduoduo continham código malicioso que aumentaria os privilégios, baixar, e executar módulos maliciosos que tiveram acesso aos usuários’ notificações e arquivos.
NOS. Agências do Poder Executivo Civil Federal enfrentam prazo apertado definido pelo BOD da CISA 22-01 (Diretiva Operacional Vinculativa), que os ordena a resolver a vulnerabilidade CVE-2023-20963 que foi adicionada à lista de vulnerabilidades exploradas conhecidas da CISA na quinta-feira, 4 de maio. Todas as falhas incluídas no KEV devem ser identificadas e corrigidas.