Pesquisadores do Threat Analysis Group (TAG) do Google emitiram um alerta sobre uma vulnerabilidade crítica de dia zero na Samsung, identificada como CVE-2024-44068, que apresenta uma pontuação CVSS de 8,1 e está sendo ativamente explorada no ambiente real.
Vulnerabilidade de zero dia na Samsung
Essa falha é classificada como um problema de uso após liberação (use-after-free), permitindo que invasores elevem privilégios em dispositivos Android afetados. A vulnerabilidade está presente nos processadores móveis da Samsung e, conforme especialistas, foi combinada com outras falhas para possibilitar a execução arbitrária de código em dispositivos vulneráveis.
Em resposta a essa ameaça, a Samsung lançou atualizações de segurança em outubro de 2024 para corrigir a vulnerabilidade. O alerta oficial do conglomerado sul-coreano destaca: “Um Use-After-Free no processador móvel leva à escalada de privilégios.” No entanto, a empresa ainda não confirmou se a vulnerabilidade está sendo explorada ativamente.
As versões afetadas incluem os processadores Exynos 9820, 9825, 980, 990, 850 e W920. A descoberta da vulnerabilidade foi realizada pelos pesquisadores Xingyu Jin, do Google Devices & Services Security Research, e Clement Lecigene, do Google TAG.
A análise do Google TAG sugere que fornecedores comerciais de spyware podem ter utilizado essa exploração para atacar dispositivos da Samsung. O alerta divulgado pelo Google Project Zero menciona a existência de um exploit de dia zero que faz parte de uma cadeia de Elevação de Privilégios (EoP).
O Google Project Zero explicou: “Este exploit de 0-day é parte de uma cadeia EoP. O ator malicioso pode executar código arbitrário em um processo privilegiado do cameraserver. O exploit também altera o nome do processo para ‘vendor.samsung.hardware.camera.provider@3.0-service’, possivelmente para evitar detecções forenses.”
Os pesquisadores relataram que a vulnerabilidade se origina de um driver que proporciona aceleração de hardware para funções de mídia, como a decodificação de JPEG e o redimensionamento de imagens. Ao interagir com o IOCTL M2M1SHOT_IOC_PROCESS, o driver pode mapear páginas do espaço do usuário para páginas de entrada/saída (E/S), executar comandos de firmware e liberar páginas de E/S mapeadas.
O funcionamento do exploit envolve o desmapeamento de páginas PFNMAP, resultando em uma vulnerabilidade use-after-free, onde as páginas virtuais de E/S podem mapear para memória física que foi liberada. Em seguida, o código do exploit utiliza um comando de firmware específico para copiar dados, o que pode sobrescrever uma entrada de diretório do meio da página (PMD) em uma tabela de páginas. Isso potencialmente leva a um ataque de espelhamento de espaço do kernel (Kernel Space Mirroring Attack – KSMA), ao manipular a memória do kernel e explorar as páginas que foram liberadas.