Chercheuse en sécurité pour Project Zero, Maddie Stone publie une preuve de concept pour l'exploitation d'un bug 0day - non corrigé - affectant Android et permettant l'exécution de code arbitraire dans le noyau.
Il s'agit d'une vulnérabilité d'élévation de privilèges en local permettant donc une compromission complète d'un appareil vulnérable.
S'il y a une divulgation publique qui peut surprendre d'autant qu'elle émane de Project Zero de… Google, c'est parce qu'une exploitation dans la nature a été repérée, dont par des chercheurs du Threat Analysis Group (TAG) de… Google.
La vulnérabilité est référencée CVE-2019-2215. Maddie Stone explique que l'exploitation active a été attribuée - ou une vente - à NSO Group. Cette société israélienne a déjà fait parler d'elle à maintes reprises. Elle se présente comme un leader mondial dans le domaine de la cyberintelligence, l'acquisition et l'analyse de données.
The in-the-wild exploit is attributed to NSO. See more here: https://t.co/ss1U4ZfqbI
— Maddie Stone (@maddiestone) 4 octobre 2019
Le nom de NSO Group est largement associé à Pegasus utilisé par des agences d'espionnage et gouvernementales. Le spyware Pegasus avait notamment été injecté dans des smartphones via un appel WhatsApp.
D'après Maddie Stone, si l'exploit est diffusé par le Web, il suffit de l'associer à un exploit pour le rendu parce que la vulnérabilité est accessible via la sandbox. Elle précise ne pas avoir à sa disposition un échantillon de l'exploit dans la nature. " Sans échantillon, nous n'avons pas pu confirmer ni la chronologie ni la charge utile. "
Un point intéressant est que la vulnérabilité avait été corrigée dans la version 4.4 (LTS) du noyau Linux fin 2017 mais sans CVE, ainsi que dans les versions 3.18, 4.4 et 4.9 du noyau Android. Un patch qui n'a étrangement pas suivi dans les versions ultérieures. Ce manquement ne devrait plus se produire avec l'attribution CVE.
La chercheuse de Project Zero souligne que le bug est exploitable sur les Pixel 1 et 2, mais pas les Pixel 3 et 3a. Reste que les modèles avec Android 8.x ou plus sont susceptibles d'être vulnérables. Elle a dressé une liste non exhaustive d'appareils vulnérables pour donner une idée : Huawei P20, Xiaomi Redmi 5A, Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, Oreo LG, Samsung S7, S8 et S9.
Le patch est désormais disponible sur Android Common Kernel et les partenaires Android de Google ont été informés. La mise à jour de sécurité Android d'octobre devrait être salvatrice.
La politique de Project Zero est de donner aux développeurs un délai de 90 jours pour un correctif avant la publication des détails d'une vulnérabilité découverte. S'il y a des exploitations actives, ce délai est raccourci et à seulement 7 jours si des actions urgentes sont requises. Ce délai raccourci a été appliqué pour la vulnérabilité CVE-2019-2215.
Kernel privilege escalation bug in Android affecting fully patched Pixel 2 & others. Reported under 7 day deadline due to evidence of in-the-wild exploit. @tehjh and I quickly wrote a POC to get arbitrary kernel r/w using this bug, released in tracker. https://t.co/x4Q1YxKczB
— Maddie Stone (@maddiestone) 4 octobre 2019
Comme souvent, ces publications peuvent paraître alarmistes. Il faut les pondérer avec un risque faible pour le commun des utilisateurs.
