Google corregge lo zero-day del kernel Android sfruttato in attacchi mirati
Google corregge lo zero-day del kernel Android sfruttato in attacchi mirati
Gli aggiornamenti di sicurezza Android di questo mese correggono 46 vulnerabilità, tra cui un'esecuzione di codice remoto (RCE) di gravità elevata sfruttata in attacchi mirati.
Lo zero-day, tracciato come CVE-2024-36971, è una debolezza use after free (UAF) nella gestione del percorso di rete del kernel Linux.
Richiede privilegi di esecuzione del sistema per uno sfruttamento riuscito e consente di modificare il comportamento di determinate connessioni di rete.
Google afferma che "ci sono indicazioni che CVE-2024-36971 potrebbe essere sotto sfruttamento limitato e mirato", con gli attori della minaccia che probabilmente sfruttano per ottenere l'esecuzione di codice arbitrario senza interazione dell'utente su dispositivi non patchati.
Clément Lecigne, un ricercatore di sicurezza del Threat Analysis Group (TAG) di Google, è stato etichettato come colui che ha scoperto e segnalato questa vulnerabilità zero-day.
Sebbene Google non abbia ancora fornito dettagli su come viene sfruttato il difetto e quale attore della minaccia si nasconde dietro gli attacchi, i ricercatori di sicurezza di Google TAG identificano e divulgano frequentemente gli zero-day utilizzati negli attacchi software di sorveglianza sponsorizzati dallo stato per colpire individui di alto profilo.
"Le patch del codice sorgente per questi problemi saranno rilasciate nel repository Android Open Source Project (AOSP) nelle prossime 48 ore", spiega l'avviso.
All'inizio di quest'anno, Google ha patchato un altro zero-day sfruttato negli attacchi: un difetto di elevazione dei privilegi (EoP) di gravità elevata nel firmware Pixel, tracciato come CVE-2024-32896 da Google e CVE-2024-29748 da GrapheneOS (che ha trovato e segnalato il difetto).
Le aziende forensi hanno sfruttato questa vulnerabilità per sbloccare i dispositivi Android senza un PIN e ottenere l'accesso ai dati archiviati.
Google ha rilasciato due set di patch per gli aggiornamenti di sicurezza di agosto, i livelli di patch di sicurezza 2024-08-01 e 2024-08-05.
Quest'ultimo include tutte le correzioni di sicurezza del primo set e patch aggiuntive per componenti closed-source e Kernel di terze parti, come una vulnerabilità critica (CVE-2024-23350) in un componente closed-source Qualcomm.
In particolare, non tutti i dispositivi Android potrebbero aver bisogno di vulnerabilità di sicurezza che si applicano al livello di patch 2024-08-05.
I fornitori di dispositivi potrebbero anche dare priorità all'implementazione del livello di patch iniziale per semplificare il processo di aggiornamento. Tuttavia, ciò non indica necessariamente un aumento del rischio di potenziale sfruttamento.
È importante notare che mentre i dispositivi Google Pixel ricevono aggiornamenti di sicurezza mensili subito dopo il rilascio, altri produttori potrebbero richiedere del tempo prima di distribuire le patch. Il ritardo è necessario per testare ulteriormente le patch di sicurezza e garantire la compatibilità con diverse configurazioni hardware.