Os EUA. Agência de Segurança Cibernética e Infraestrutura (CISA) emitiu um aviso sobre a exploração ativa da vulnerabilidade de dispositivo Samsung de gravidade média, rastreado como CVE-2023-21492 e pontuando 4.4 no CVSS. O problema afeta os dispositivos Samsung que executam versões do Android 11, 12, e 13.
O que é CVE-2023-21492?
A descrição técnica oficial diz que “Os ponteiros do kernel são impressos no arquivo de log antes da versão 1 de maio de 2023 da SMR” permitindo assim que um invasor local privilegiado ignore o ASLR. ASLR é uma medida preventiva que ofusca locais de memória executável contra corrupção de memória e a execução de código falhas.
De acordo com Samsung, um invasor com privilégios pode iniciar uma exploração ignorando a randomização do layout do espaço de endereço (ASLR) proteções de segurança nas referidas versões do Android.
Pelo visto, a vulnerabilidade foi descoberta em particular em janeiro 17, 2023, e explorar porque existia na natureza desde então. Não há mais detalhes sobre seu abuso, ainda registros anteriores mostram que software malicioso foi distribuído por meio de dispositivos Samsung no passado.
De acordo com a pesquisa do Google Project Zero, em agosto 2020, um ataque MMS remoto de clique zero foi realizado, execução de código bem-sucedida por meio de duas vulnerabilidades de substituição de buffer na biblioteca Quram qmg (SVE-2020-16747 e SVE-2020-17675).
A CISA adicionou a falha às suas vulnerabilidades exploradas conhecidas (KEV) Catálogo, ao lado de dois bugs do Cisco IOS (CVE-2004-1464 e CVE-2016-6415), e ordena ao Poder Executivo Federal Civil (FCEB) agências para corrigi-lo antes de junho 9, 2023. A agência também adicionou mais sete falhas ao catálogo KEV, a mais antiga delas é uma vulnerabilidade do Linux de 13 anos (CVE-2010-3904) levando a escalação de operação sem privilégios.
Os especialistas do Google Project Zero confirmaram que a falha de segurança da Samsung foi descoberta por Clement Lecigne, do Google Threat Analysis Group (TAG). Isso suporta as indicações de sua exploração para uma campanha de spyware.