Através do Project Zero, a equipe de caça a bugs de dia zero do Google, descobriu e relatou 18 vulnerabilidades de zero-day nos chipsets Exynos da Samsung usados em dispositivos móveis, wearables e carros.
As falhas de segurança do modem Exynos foram relatadas entre o final de 2022 e o início de 2023. Quatro dos dezoito dias zero foram identificados como os mais graves, permitindo a execução remota de código da Internet para a banda base.
Esses bugs de execução remota de código (RCE) da Internet para banda base (incluindo CVE-2023-24033 e três outros ainda aguardando um CVE-ID) permitem que os invasores comprometam dispositivos vulneráveis remotamente e sem qualquer interação do usuário.
O software de banda base não verifica corretamente os tipos de formato do atributo accept-type especificados pelo SDP, o que pode levar a uma negação de serviço ou execução de código no Samsung Baseband Modem.
diz a Samsung em um comunicado de segurança descrevendo a vulnerabilidade CVE-2023-24033.
A única informação necessária para que os ataques sejam realizados é o número de telefone da vítima, de acordo com Tim Willis, chefe do Project Zero.
Para tornar as coisas ainda piores, com o mínimo de pesquisa adicional, invasores experientes poderiam facilmente criar uma exploração capaz de comprometer remotamente dispositivos vulneráveis sem acionar a atenção dos alvos.
Devido a uma combinação muito rara de nível de acesso que essas vulnerabilidades fornecem e a velocidade com que acreditamos que uma exploração operacional confiável poderia ser criada, decidimos fazer uma exceção de política para atrasar a divulgação das quatro vulnerabilidades que permitem a execução remota de código da Internet para a banda base.
disse Willis
As 14 falhas restantes (incluindo CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 e nove outras aguardando CVE-IDs) não são tão críticas, mas ainda representam um risco. A exploração bem-sucedida requer acesso local ou uma operadora de rede móvel maliciosa.
Com base na lista de chipsets afetados fornecida pela Samsung, a lista de dispositivos afetados inclui, mas provavelmente não está limitada a:
- Dispositivos móveis da Samsung, incluindo os das séries S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 e A04;
- Dispositivos móveis da Vivo, incluindo os das séries S16, S15, S6, X70, X60 e X30;
- As séries de dispositivos Pixel 6 e Pixel 7 do Google;
- quaisquer wearables que utilizem o chipset Exynos W920; e
- quaisquer veículos que utilizem o chipset Exynos Auto T5123.
Solução alternativa disponível para dispositivos afetados
Embora a Samsung já tenha fornecido atualizações de segurança abordando essas vulnerabilidades em chipsets afetados para outros fornecedores, os patches não são públicos e não podem ser aplicados por todos os usuários afetados.
O cronograma de patch de cada fabricante para seus dispositivos será diferente, mas, por exemplo, o Google já abordou o CVE-2023-24033 para dispositivos Pixel afetados em suas atualizações de segurança de março de 2023.
No entanto, até que os patches estejam disponíveis, os usuários podem frustrar as tentativas de exploração de RCE de banda base visando os chipsets Exynos da Samsung em seu dispositivo, desativando as chamadas Wi-Fi e o Voice-over-LTE (VoLTE) para remover o vetor de ataque.
A Samsung também confirmou a solução alternativa do Project Zero, dizendo que “os usuários podem desativar as chamadas WiFi e o VoLTE para mitigar o impacto dessa vulnerabilidade“.
Como sempre, incentivamos os usuários finais a atualizar seus dispositivos o mais rápido possível, para garantir que eles estejam executando as compilações mais recentes que corrigem vulnerabilidades de segurança divulgadas e não divulgadas.
acrescentou Willis.
Fonte: Samsung / Project Zero
