Exploitation d’une faille de contournement de l’ASLR de Samsung
La CISA met en garde contre la faille de contournement de l’ASLR de Samsung exploitée dans les attaques.
La CISA a mis en garde aujourd’hui contre une vulnérabilité de sécurité affectant les appareils Samsung utilisés dans les attaques pour contourner la protection de la randomisation de la disposition de l’espace d’adressage (ASLR) d’Android. ASLR est une fonctionnalité de sécurité Android qui randomise les adresses mémoire où les composants clés de l’application et du système d’exploitation sont chargés dans la mémoire de l’appareil. (Sources)
La faille CVE-2023-21492 correspond à une vulnérabilité d’insertion d’informations sensibles dans les fichiers journaux des appareils mobiles Samsung. Elle concerne plus précisément les systèmes d’exploitation Android 11, 12 et 13. Cette CVE est dans le catalogue des vulnérabilités exploitées connues de la CISA (Sources)
En cas d’exploitation d’une vulnérabilité de débordement de tampon, l’ASLR (Address Space Layout Randomization) est particulièrement utile pour éviter la fuite d’un code malveillant ou la mise en charge utile dans une autre bibliothèque. L’ajout d’ASLR dans Android augmente la difficulté d’écriture d’un tel exploit en assurant la randomisant de certaines adresses mémoire.
Android est un système d'exploitation mobile basé sur le noyau Linux et développé actuellement par Google. Lancé en juin 2007 à la suite du rachat par Google en 2005 de la startup du même nom, le système avait d'abord été conçu pour les smartphones et tablettes tactiles, puis s'est diversifié dans les objets connectés et ordinateurs comme les télévisions (Android TV), les voitures (Android Auto), les ordinateurs (Android-x86) et les smartwatch (Android Wear). Les attaquants recherchent les failles de sécurité Zero Day sur le système Android. L'objectif étant de pouvoir interagir avec le noyau Android pour insérer un exploit et exécuter du code arbitraire à distance.
Une cyberattaque est un acte malveillant envers un dispositif informatique via un réseau cybernétique. Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques. Les origines des cyberattaques sont multiples et proviennent le plus souvent d'attaques par rançongiciels, par phishing, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day. Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux. Des exploits dormants infectent les systèmes et les réseaux non corrigés en vue de leur future activation. Un procédé qui permet de masquer l'origine de l'attaque et de voler des informations confidentielles dans un but lucratif.
La Cybersecurity and Infrastructure Security Agency (CISA) est une agence fédérale américaine sous la supervision du département de la Sécurité intérieure des États-Unis, créée le 16 novembre 2018 à la suite de la promulgation du Cybersecurity and Infrastructure Security Agency Act (en) de 2018. Son objectif est d'améliorer le niveau de sécurité informatique à tous les niveaux du gouvernement. En cybersécurité, la mission du CISA est de diriger les efforts visant à protéger le domaine fédéral des réseaux du gouvernement civil. Elle vise aussi à collaborer avec le secteur privé pour accroître la sécurité des réseaux critiques. La CISA dirige l'effort national pour comprendre, gérer et réduire les risques pour l'infrastructure cyber et physique sur laquelle les Américains comptent à chaque heure de chaque jour. Sa mission s'étend à trois domaines principaux : la cybersécurité, la sécurité des infrastructures et les communications d'urgence.