imágenes falsas
Arm advirtió el lunes sobre ataques activos en curso dirigidos a una vulnerabilidad en los controladores de dispositivos para su línea Mali de GPU, que se ejecutan en una gran cantidad de dispositivos, incluidos Google Pixels y otros teléfonos Android, Chromebooks y hardware que ejecuta Linux.
«Un usuario local sin privilegios puede realizar operaciones inadecuadas de procesamiento de memoria de GPU para obtener acceso a la memoria ya liberada», escribieron los funcionarios de Arm en un aviso. “Este problema se solucionó en Bifrost, Valhall y Arm 5th Gen GPU Architecture Kernel Driver r43p0. Hay pruebas de que esta vulnerabilidad puede estar bajo explotación limitada y selectiva. Se recomienda a los usuarios que actualicen si se ven afectados por este problema”.
El aviso continúa: “Un usuario local sin privilegios puede realizar operaciones de procesamiento de GPU inadecuadas para acceder a una cantidad limitada fuera de los límites del búfer o para explotar una condición de carrera del software. Si el usuario prepara cuidadosamente la memoria del sistema, esto a su vez podría darle acceso a la memoria ya liberada”.
Obtener acceso a la memoria del sistema que ya no está en uso es un mecanismo común para cargar código malicioso en una ubicación que un atacante luego puede ejecutar. Este código a menudo les permite explotar otras vulnerabilidades o instalar cargas útiles maliciosas para espiar al usuario del teléfono. Los atacantes suelen obtener acceso local a un dispositivo móvil engañando a los usuarios para que descarguen aplicaciones maliciosas de repositorios no oficiales. El aviso menciona que los controladores de las GPU afectadas son vulnerables, pero no menciona el microcódigo que se ejecuta dentro de los propios chips.
La plataforma más afectada por la vulnerabilidad es la línea de píxeles de Google, que es uno de los únicos modelos de Android que recibe actualizaciones de seguridad de manera oportuna. Google parchó Pixels en su actualización de septiembre contra la vulnerabilidad, que se rastrea como CVE-2023-4211. Google también ha parcheado los Chromebook que utilizan GPU vulnerables. Cualquier dispositivo que muestre un nivel de parche 2023-09-01 o posterior es inmune a ataques que aprovechen la vulnerabilidad. El controlador de dispositivo en los dispositivos parcheados se mostrará como versión r44p1 o r45p0.
CVE-2023-4211 está presente en una variedad de GPU Arm lanzadas durante la última década. Los chips Arm afectados son:
- Controlador del kernel de GPU Midgard: todas las versiones desde r12p0 – r32p0
- Controlador del kernel de GPU Bifrost: todas las versiones desde r0p0 – r42p0
- Controlador del kernel de GPU Valhall: todas las versiones desde r19p0 – r42p0
- Controlador del kernel de arquitectura de GPU Arm de quinta generación: todas las versiones desde r41p0 – r42p0
Los dispositivos que se cree que utilizan los chips afectados incluyen Google Pixel 7, Samsung S20 y S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find. X5 Pro y Reno 8 Pro y algunos teléfonos de Mediatek.
Arm también pone a disposición controladores para los chips afectados para dispositivos Linux.
Actualmente, se sabe poco sobre la vulnerabilidad, aparte de que Arm atribuyó el descubrimiento de las explotaciones activas a Maddie Stone, investigadora del equipo Proyecto Cero de Google. Project Zero rastrea vulnerabilidades en dispositivos ampliamente utilizados, particularmente cuando están sujetos a ataques de día cero o día n, que se refieren a aquellos que apuntan a vulnerabilidades para las cuales no hay parches disponibles o aquellas que han sido parcheadas recientemente.
El aviso de Arm del lunes reveló dos vulnerabilidades adicionales que también recibieron parches. CVE-2023-33200 y CVE-2023-34970 permiten que un usuario sin privilegios aproveche una condición de carrera para realizar operaciones incorrectas de GPU para acceder a la memoria ya liberada.
Las tres vulnerabilidades son explotables por un atacante con acceso local al dispositivo, lo que normalmente se logra engañando a los usuarios para que descarguen aplicaciones de repositorios no oficiales.
Actualmente se desconoce qué otras plataformas, si es que hay alguna, tienen parches disponibles. Hasta que se pueda rastrear esta información, las personas deben consultar con el fabricante de su dispositivo. Lamentablemente, muchos dispositivos Android vulnerables reciben parches meses o incluso años después de estar disponibles, en todo caso.