Аналитики Google Threat Analysis Group (TAG) обнаружили уязвимость нулевого дня в мобильных процессорах Samsung. Исследователи сообщили, что баг уже использовался в цепочке эксплоитов для выполнения произвольного кода.
Проблема отслеживается под идентификатором CVE-2024-44068 (8,1 балла по шкале CVSS) и была исправлена в октябре 2024 года. Специалисты описывают уязвимость как use-after-free, которая может применяться для повышения привилегий на уязвимом Android-устройстве.
«Проблема была обнаружена в драйвере m2m scaler в мобильных процессорах и wearable-процессорах Samsung Exynos 9820, 9825, 980, 990, 850 и W920. Эксплуатация use-after-free в мобильных процессорах ведет к повышению привилегий», — сообщается в описании уязвимости.
В собственном бюллетене безопасности Samsung нет никакой дополнительной информации или подробностей об эксплуатации уязвимости. Зато специалисты TAG, нашедшие CVE-2024-44068 в июле текущего года, предупреждают, что эксплоит для этого бага уже существует и применяется злоумышленниками.
По данным исследователей, проблема связана с драйвером, который обеспечивает аппаратное ускорение мультимедийных функций, маппит страницы пользовательского пространства с I/O-страницами, выполняет команды прошивки, а затем уничтожает уже сопоставленные I/O-страницы.
Из-за бага счетчик page reference count не увеличивается для страниц PFNMAP, но уменьшается для страниц, не относящихся к PFNMAP, при очистке виртуальной I/O памяти. В итоге атакующий получает возможность выделять страницы PFNMAP, сопоставлять их с виртуальной I/O памятью и освобождать страницы, что позволяет маппить виртуальные страницы I/O с освобожденными физическими страницами. В конечном итоге все это приводит к атаке Kernel Space Mirroring Attack (KSMA) и нарушает защиту изоляции ядра Android.
«Этот 0-day эксплоит является частью цепочки для повышения привилегий. Эксплоит способен выполнить произвольный код в привилегированном процессе cameraserver. Кроме того, эксплоит изменяет имя процесса на vendor.samsung.hardware.camera.provider@3.0-service, вероятно, в целях защиты от исследования», — отмечают эксперты.
Хотя специалисты не предоставили никаких подробностей о замеченных атаках, команда Google TAG часто сообщает об уязвимостях нулевого дня, которые уже взяты на вооружение производителями шпионского ПО или «правительственными» хак-группами.