谷歌的威胁分析小组(TAG)警告称,三星移动处理器中的一个零日漏洞已被用作任意代码执行漏洞利用链的一部分而遭到滥用。
该漏洞被追踪为 CVE-2024-44068(通用漏洞评分系统得分为 8.1),并在三星 2024 年 10 月的一组安全补丁中得到修复。这个问题被描述为一个释放后使用的漏洞,可能被滥用于在易受攻击的安卓设备上提升权限。
美国国家标准与技术研究院的一份公告中写道:“在三星移动处理器和可穿戴处理器 Exynos 9820、9825、980、990、850 以及 W920 的 m2m 缩放器驱动程序中发现了一个问题。移动处理器中的释放后使用漏洞会导致权限提升。”
三星关于 CVE-2024-44068 的公告内容很少,没有提及该漏洞被利用的情况,但谷歌研究员金兴宇(7 月份因报告该漏洞而受到赞誉)以及谷歌 TAG 研究员克莱门特・勒西根警告称,野外存在漏洞利用情况。
据他们所说,这个问题存在于一个为媒体功能提供硬件加速的驱动程序中,该驱动程序将用户空间页面映射到 I/O 页面,执行固件命令,并拆除映射的 I/O 页面。
由于这个漏洞,在拆除 I/O 虚拟内存时,PFNMAP 页面的页面引用计数不会增加,而只有非 PFNMAP 页面的引用计数会减少。
研究人员解释说,这使得攻击者能够分配 PFNMAP 页面,将它们映射到 I/O 虚拟内存并释放这些页面,从而允许他们将 I/O 虚拟页面映射到已释放的物理页面。
“这个零日漏洞利用是权限提升链的一部分。攻击者能够在有特权的 cameraserver 进程中执行任意代码。该漏洞利用还将进程名称本身重命名为‘vendor.samsung.hardware.camera.provider@3.0-service’,可能是出于反取证的目的。” 金兴宇和勒西根指出。
该漏洞利用会解除页面映射,触发释放后使用漏洞,然后使用固件命令将数据复制到 I/O 虚拟页面,从而导致内核空间镜像攻击(KSMA),并打破安卓内核的隔离保护。
虽然研究人员没有提供关于所观察到的攻击的详细信息,但谷歌 TAG 经常披露间谍软件供应商利用的零日漏洞,包括针对三星设备的漏洞利用。
关注【黑客联盟】带你走进神秘的黑客世界