Rastreada como CVE-2023-45779, agora foi lançada uma PoC de uma falha de elevação de privilégio local no Android.
Uma exploração de prova de conceito (PoC) para uma falha de elevação de privilégio local que afeta pelo menos sete fabricantes de equipamentos originais (OEMs) Android está agora disponível publicamente no GitHub.
No entanto, como a exploração requer acesso local, a sua divulgação será útil principalmente para os investigadores.
Lançada uma PoC de uma falha de elevação de privilégio local
Rastreada como CVE-2023-45779, a falha foi descoberta pelo Red Team X da Meta no início de setembro de 2023 e foi abordada na atualização de segurança de dezembro de 2023 do Android sem revelar detalhes que um invasor poderia usar para discerni-la e explorá-la.
A vulnerabilidade existe devido à assinatura insegura de módulos APEX usando chaves de teste, permitindo que invasores enviem atualizações maliciosas para componentes da plataforma, levando à elevação de privilégios locais.
Embora a vulnerabilidade não possa ser explorada diretamente remotamente, ela destaca pontos fracos na documentação do Compatibility Test Suite (CTS) e do Android Open Source Project (AOSP) que o Google planeja resolver na próxima versão do Android 15.
Os dispositivos que receberam o patch de segurança do Android nível 2023-12-05 são protegidos contra CVE-2023-45779.
Tom Hebb, da Meta, publicou um artigo explicando que o problema está na assinatura de módulos APEX usando chaves de teste disponíveis publicamente no AOSP.
Os módulos APEX permitem que os OEMs enviem atualizações em componentes específicos do sistema sem emitir uma atualização completa over-the-air (OTA), tornando os pacotes de atualização mais enxutos e fáceis de testar e entregar aos usuários finais.
Esses módulos devem ser assinados com uma chave privada conhecida apenas pelo OEM, criada durante o processo de construção.
No entanto, usar a mesma chave pública encontrada na árvore de construção do código-fonte do Android significa que qualquer pessoa pode forjar atualizações críticas de componentes do sistema.
Essas atualizações podem dar aos invasores privilégios elevados no dispositivo, contornando os mecanismos de segurança existentes e resultando em comprometimento total.
CVE-2023-45779 afeta muitos OEMs, incluindo ASUS (testado em Zenfone 9), Microsoft (Surface Duo 2), Nokia (G50), Nothing (Phone 2), VIVO (X90 Pro), Lenovo (Tab M10 Plus) e Fairphone (5).
Os modelos acima referem-se apenas à cobertura de teste, portanto, vários modelos, se não todos, desses sete OEMs são provavelmente vulneráveis ao CVE-2023-45779. O boletim da Fairphone sobre o assunto confirma isso.
Hebb diz que o motivo pelo qual vários OEMs não perceberam o problema de segurança é multifacetado, incluindo configurações padrão inseguras no AOSP, documentação inadequada e cobertura insuficiente do CTS, que não conseguiu detectar o uso de chaves de teste nas assinaturas APEX.
OEMs cujos modelos de dispositivos foram testados pelos analistas da Meta e foram confirmados como não vulneráveis ao CVE-2023-45779 graças ao uso de chaves privadas são Google (Pixel), Samsung (Galaxy S23), Xiaomi (Redmi Note 12), OPPO (Find X6 Pro), Sony (Xperia 1 V), Motorola (Razr 40 Ultra) e OnePlus (10T).
Os pesquisadores lançaram um exploit para CVE-2023-45779 no GitHub, tornando-o amplamente disponível, mas isso não significa que os usuários que ainda não receberam uma correção devam ficar particularmente preocupados.
Normalmente, a falha exigiria acesso físico ao dispositivo alvo e alguma experiência no uso do ‘adb shell’ para explorá-lo, de modo que o PoC se destina principalmente à pesquisa e validação de mitigação.
No entanto, como já vimos várias vezes, sempre existe a possibilidade de o exploit ser usado como parte de uma cadeia de exploits para elevar privilégios em um dispositivo já comprometido.
Se o seu dispositivo Android executa algo anterior ao nível de patch de segurança do Android 2023-12-05, considere mudar para uma distribuição com suporte ativo ou atualizar para um modelo mais recente.