Vulnerabilidade crítica

Samsung enfrenta exploração de vulnerabilidade crítica em dispositivos Android

Pesquisadores do Google alertam sobre uma vulnerabilidade de dia zero da Samsung, que permite escalada de privilégios em dispositivos Android. A falha, CVE-2024-44068, foi corrigida em outubro de 2024, mas está sendo explorada ativamente.

samsung-confirma-que-trara-seu-concorrente-dolby-atmos-ainda-em-2024

Pesquisadores do Threat Analysis Group (TAG) do Google emitiram um alerta sobre uma vulnerabilidade crítica de dia zero na Samsung, identificada como CVE-2024-44068, que apresenta uma pontuação CVSS de 8,1 e está sendo ativamente explorada no ambiente real.

Vulnerabilidade de zero dia na Samsung

Essa falha é classificada como um problema de uso após liberação (use-after-free), permitindo que invasores elevem privilégios em dispositivos Android afetados. A vulnerabilidade está presente nos processadores móveis da Samsung e, conforme especialistas, foi combinada com outras falhas para possibilitar a execução arbitrária de código em dispositivos vulneráveis.

Em resposta a essa ameaça, a Samsung lançou atualizações de segurança em outubro de 2024 para corrigir a vulnerabilidade. O alerta oficial do conglomerado sul-coreano destaca: “Um Use-After-Free no processador móvel leva à escalada de privilégios.” No entanto, a empresa ainda não confirmou se a vulnerabilidade está sendo explorada ativamente.

samsung-confirma-que-trara-seu-concorrente-dolby-atmos-ainda-em-2024

As versões afetadas incluem os processadores Exynos 9820, 9825, 980, 990, 850 e W920. A descoberta da vulnerabilidade foi realizada pelos pesquisadores Xingyu Jin, do Google Devices & Services Security Research, e Clement Lecigene, do Google TAG.

A análise do Google TAG sugere que fornecedores comerciais de spyware podem ter utilizado essa exploração para atacar dispositivos da Samsung. O alerta divulgado pelo Google Project Zero menciona a existência de um exploit de dia zero que faz parte de uma cadeia de Elevação de Privilégios (EoP).

O Google Project Zero explicou: “Este exploit de 0-day é parte de uma cadeia EoP. O ator malicioso pode executar código arbitrário em um processo privilegiado do cameraserver. O exploit também altera o nome do processo para ‘[email protected]’, possivelmente para evitar detecções forenses.”

Os pesquisadores relataram que a vulnerabilidade se origina de um driver que proporciona aceleração de hardware para funções de mídia, como a decodificação de JPEG e o redimensionamento de imagens. Ao interagir com o IOCTL M2M1SHOT_IOC_PROCESS, o driver pode mapear páginas do espaço do usuário para páginas de entrada/saída (E/S), executar comandos de firmware e liberar páginas de E/S mapeadas.

O funcionamento do exploit envolve o desmapeamento de páginas PFNMAP, resultando em uma vulnerabilidade use-after-free, onde as páginas virtuais de E/S podem mapear para memória física que foi liberada. Em seguida, o código do exploit utiliza um comando de firmware específico para copiar dados, o que pode sobrescrever uma entrada de diretório do meio da página (PMD) em uma tabela de páginas. Isso potencialmente leva a um ataque de espelhamento de espaço do kernel (Kernel Space Mirroring Attack – KSMA), ao manipular a memória do kernel e explorar as páginas que foram liberadas.