En az yedi Android orijinal ekipman üreticisini (OEM) etkileyen yerel bir ayrıcalık yükseklik kusuru için bir konsept kanıtı (POC) istismar artık GitHub'da halka açıktır. Bununla birlikte, istismar yerel erişim gerektirdiğinden, piyasaya sürülmesi çoğunlukla araştırmacılar için yararlı olacaktır.
CVE-2023-45779 olarak izlenen kusur, Meta'nın Red Team X tarafından Eylül 2023'ün başlarında keşfedildi ve bir saldırganın ayırt etmek ve sömürmek için kullanabileceği ayrıntıları açıklamadan Android'in Aralık 2023 güvenlik güncellemesinde ele alındı.
Güvenlik açığı, test anahtarları kullanılarak apeks modüllerinin güvensiz imzalanması nedeniyle mevcuttur, bu da saldırganların platform bileşenlerine kötü amaçlı güncellemeleri zorlayarak yerel ayrıcalık yüksekliğine yol açar.
Güvenlik açığı doğrudan uzaktan sömürülebilir olmasa da, Google'ın yaklaşan Android 15 sürümünde ele almayı planladığı ANDROID Açık Kaynak Projesi (AOSP) belgelerindeki uyumluluk testi paketindeki (CTS) ve Android Açık Kaynak Projesi (AOSP) belgelerindeki zayıflıkları vurgulamaktadır.
Android Güvenlik Yaması Level 2023-12-05 alan cihazlar CVE-2023-45779'a karşı güvence altına alınmıştır.
Meta'dan Tom Hebb, sorunun AOSP'den halka açık test anahtarlarını kullanarak apeks modüllerinin imzalanmasında yattığını açıklayan bir yazı yayınladı.
Apex modülleri, OEM'lerin tam bir hava üzerinde (OTA) güncellemesi vermeden belirli sistem bileşenleri üzerindeki güncellemeleri bastırmasını sağlar, bu da güncelleme paketlerinin test edilmesi ve son kullanıcılara teslim edilmesini daha kolay hale getirir.
Bu modüller, oluşturma işlemi sırasında oluşturulan sadece OEM tarafından bilinen özel bir anahtarla imzalanmalıdır. Ancak, Android kaynak kodu oluşturma ağacında bulunan aynı genel anahtarı kullanmak, herkesin kritik sistem bileşen güncellemelerini oluşturabileceği anlamına gelir.
Bu tür güncellemeler, saldırganlara cihazda yüksek ayrıcalıklar verebilir, mevcut güvenlik mekanizmalarını atlayabilir ve tam uzlaşmaya neden olabilir.
CVE-2023-45779, Asus (Zenfone 9'da test edildi), Microsoft (Surface Duo 2), Nokia (G50), hiçbir şey (telefon 2), vivo (X90 Pro), Lenovo (Tab M10 Plus) dahil olmak üzere birçok OEM'yi etkiler ve Fairphone (5).
Yukarıdaki modeller sadece test kapsamı ile ilgilidir, bu nedenle bu yedi OEM'den çok sayıda olmasa da çoklu modeller muhtemelen CVE-2023-45779'a karşı savunmasızdır. Fairphone'un konuyla ilgili bülten bunu doğrular.
Hebb, AOSP'deki güvenli olmayan varsayılan ayarlar, yetersiz belgeler ve apeks imzalarında test anahtarlarının kullanımını tespit edemeyen CTS tarafından yetersiz kapsama alanı dahil olmak üzere birden fazla OEM'in güvenlik sorununu kaçırmasının nedeninin çok yönlü olmasının nedeninin çok yönlü olmasının çok yönlü olmasının nedenini söylüyor.
Cihaz modelleri Meta'nın analistleri tarafından test edilen ve özel anahtarları kullanma sayesinde CVE-2023-45779'a karşı savunmasız olmadığı doğrulanan OEM'ler Google (Pixel), Samsung (Galaxy S23), Xiaomi (Redmi Note 12), oppo (x6 bulun Pro), Sony (Xperia 1 V), Motorola (Razr 40 Ultra) ve OnePlus (10t).
Araştırmacılar, GitHub'da CVE-2023-45779 için bir istismar yayınladı, ancak onu yaygın olarak kullanılabilir hale getirdi, ancak bu, henüz bir düzeltme almayan kullanıcıların özellikle endişeli olması gerektiği anlamına gelmiyor.
Tipik olarak, kusur hedef cihaza fiziksel erişim ve onu kullanmak için 'ADB kabuğu' kullanma konusunda bazı uzmanlık gerektirir, bu nedenle POC öncelikle araştırma ve hafifletme doğrulaması için tasarlanmıştır.
Bununla birlikte, birden çok kez gördüğümüz gibi, istismarın, zaten uzlaşmış bir cihazda ayrıcalıkları yükseltmek için bir istismar zincirinin bir parçası olarak kullanılma olasılığı vardır.
Android cihazınız Android Güvenlik Yaması Level 2023-12-05'ten daha eski bir şey çalıştırıyorsa, aktif olarak desteklenen bir dağıtıma geçmeyi veya daha yeni bir modele yükseltmeyi düşünün.
Büyük Dağıtımlarda Kök Veren Linux Kususu için Serbest Yardım
Kritik Jenkins RCE Kususu için Serbest Yardımlar, Şimdi Yama
Google Play'de Tasarlanmış Kötü Yazılımlarla Döşenmiş Daha Fazla Android Uygulamaları
Fortra Goany Where Mft Auth Bypass Hata
Grapheneos: Sık Android Otomatik Yenileme Blok Ürün Yazılımı İstismarları
Kaynak: Bleeping Computer