Nueva vulnerabilidad 0-Day afecta a la mayoría de los teléfonos que están siendo hackeados en este último tiempo

Nueva vulnerabilidad 0-Day sin parche afecta al famoso SO móvil Android.

También se descubrió que la vulnerabilidad es explotada por la marca israelí de vigilancia NSO Group, infame por vender exploits de día cero a los gobiernos, o uno de sus clientes, para obtener el control de los dispositivos Android de sus objetivos.

Descubierto por Maddie Stoneel investigador de Project Zero, los detalles y la PoC de el exploit para vulnerabilidad crítica codificada como CVE-1029-2215 publicada solo siete días después de el reporte del equipo de seguridad de Android.

Esta vulnerabilidad aprovecha una debilidad del compilador de kernel de Android, que da la opción de alojar privilegios de un tercero, esto puede permitir que un atacante o una aplicación escale sus privilegios para obtener acceso de root a un dispositivo vulnerable y potencialmente tomar el control remoto completo del dispositivo.

Equipos Android Vulnerables

La vulnerabilidad reside en versiones de kernel de Android lanzados antes de abril del año pasado, el parche fue incluido en el 4.14 LTS del kernel de Linux lanzado en diciembre del 2017, pero fue incorporado en AOSP con version de kernel 3.18, 4.4 y 4.9.

Por lo que la mayoría de los dispositivos Android fabricados y vendidos por la mayoría de los proveedores con el núcleo no parcheado aún son vulnerables a esta vulnerabilidad incluso después de tener las últimas actualizaciones de Android, incluidos los modelos de teléfonos inteligentes populares que se enumeran a continuación:

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Teléfonos Oreo LG
  • Samsung S7
  • Samsung S8
  • Samsung S9

La vulnerabilidad puede ser explotada de forma remota

De acuerdo con los investigadores desde la aparición de vulnerabilidad de Chrome “accesible from inside the Chrome sandbox”, la debilidad del compilador de kernel de Android puede ser explotada de forma remota combinando estas 2 vulnerabilidades.

El error es una vulnerabilidad de escalada de privilegios locales que permite el compromiso total de un dispositivo vulnerable. Si el exploit se entrega a través de la Web, solo necesita ser emparejado con un exploit de renderizado, ya que esta vulnerabilidad es accesible a través del sandbox“. dice Stone en el Chromium blog.

He adjuntado una prueba de concepto de explotación local para demostrar cómo se puede usar este error para obtener lectura / escritura arbitraria del núcleo cuando se ejecuta localmente. Solo requiere la ejecución de código de aplicación no confiable para explotar CVE-2019-2215. I ‘ también adjunté una captura de pantalla (success.png) del POC que se ejecuta en un Pixel 2, con Android 10 con nivel de parche de seguridad en septiembre de 2019 “.

El parche de seguridad estará disponible próximamente

Aunque Google lanzará un parche para esta vulnerabilidad en su Boletín de seguridad de Android de octubre en los próximos días y también notificó a los OEM, la mayoría de los dispositivos afectados probablemente no recibirían el parche de inmediato, a diferencia de Google Pixel 1 y 2.

Este problema está calificado como de alta gravedad en Android y por sí solo requiere la instalación de una aplicación maliciosa para su posible explotación. Cualquier otro vector, como a través del navegador web, requiere encadenarse con un exploit adicional“, dijo el equipo de seguridad de Android en un comunicado.

Hemos notificado a los socios de Android, y el parche está disponible en el kernel común de Android. Los dispositivos Pixel 3 y 3a no son vulnerables, mientras que los dispositivos Pixel 1 y 2 recibirán actualizaciones para este problema como parte de la actualización de octubre“.

Referencias:

https://www.muyseguridad.net/2019/10/07/nuevo-0-day-para-android/

https://thehackernews.com/2019/10/android-kernel-vulnerability.html

https://www.pcworld.com/article/3444238/zero-day-android-exploit-pixel-galaxy-huawei-lg-patch.html

https://arstechnica.com/information-technology/2019/10/attackers-exploit-0day-vulnerability-that-gives-full-control-of-android-phones/

https://arstechnica.com/information-technology/2019/10/attackers-exploit-0day-vulnerability-that-gives-full-control-of-android-phones/