Un exploit de preuve de concept (PoC) pour une faille d’élévation de privilèges locaux affectant au moins sept fabricants d’équipement d’origine (OEM) Android est désormais accessible au public sur GitHub. Cependant, comme l’exploit nécessite un accès local, sa publication sera surtout utile aux chercheurs.
Identifiée sous le numéro CVE-2023-45779, la faille a été découverte par la Red Team X de Meta début septembre 2023 et a été corrigée dans la mise à jour de sécurité d’Android de décembre 2023 sans divulguer les détails qu’un attaquant pourrait utiliser pour la discerner et l’exploiter.
La vulnérabilité existe en raison de la signature non sécurisée des modules APEX à l’aide de clés de test, permettant aux attaquants de pousser des mises à jour malveillantes vers les composants de la plate-forme, entraînant une élévation des privilèges locaux.
Bien que la vulnérabilité ne soit pas directement exploitable à distance, elle met en évidence des faiblesses dans la documentation de la Suite de tests de compatibilité (CTS) et du Projet Open Source Android (PSBA) que Google prévoit de corriger dans la prochaine version d’Android 15.
Les appareils qui ont reçu le correctif de sécurité Android de niveau 2023-12-05 sont sécurisés contre CVE-2023-45779.
Signature APEX non sécurisée
Tom Hebb de Meta a publié un article expliquant que le problème réside dans la signature des modules APEX à l’aide des clés de test accessibles au public de l’AOSP.
Les modules APEX permettent aux OEM de pousser les mises à jour sur des composants système spécifiques sans émettre de mise à jour OTA complète, ce qui rend les packages de mise à jour plus légers et plus faciles à tester et à fournir aux utilisateurs finaux.
Ces modules doivent être signés avec une clé privée connue uniquement de l’OEM, créée pendant le processus de construction. Cependant, en utilisant la même clé publique que celle trouvée dans l’arborescence de construction du code source Android, n’importe qui peut falsifier des mises à jour de composants système critiques.
De telles mises à jour pourraient donner aux attaquants des privilèges élevés sur l’appareil, contournant les mécanismes de sécurité existants et entraînant une compromission complète.
CVE-2023-45779 a un impact sur de nombreux OEM, notamment ASUS (testé sur Zenfone 9), Microsoft (Surface Duo 2), Nokia (G50), Rien (Téléphone 2), VIVO (X90 Pro), Lenovo (Tab M10 Plus) et Fairphone (5).
Les modèles ci-dessus ne concernent que la couverture des tests, de sorte que plusieurs, sinon tous, modèles de ces sept OEM sont probablement vulnérables à CVE-2023-45779. Le bulletin de Fairphone sur la question le confirme.
Hebb explique que la raison pour laquelle plusieurs OEM ont manqué le problème de sécurité est multiforme, y compris des paramètres par défaut dangereux dans AOSP, une documentation inadéquate et une couverture insuffisante par le CTS, qui n’a pas réussi à détecter l’utilisation de clés de test dans les signatures APEX.
Les OEM dont les modèles d’appareils ont été testés par les analystes de Meta et dont il a été confirmé qu’ils n’étaient pas vulnérables à CVE-2023-45779 grâce à l’utilisation de clés privées sont Google (Pixel), Samsung (Galaxy S23), Xiaomi (Redmi Note 12), OPPO (Find X6 Pro), Sony (Xperia 1 V), Motorola (Razr 40 Ultra) et OnePlus (10T).
Exploit disponible
Les chercheurs ont publié un exploit pour CVE-2023-45779 sur GitHub, le rendant largement disponible, mais cela ne signifie pas que les utilisateurs qui n’ont pas encore reçu de correctif devraient être particulièrement inquiets.
En règle générale, la faille nécessiterait un accès physique à l’appareil cible et une certaine expertise dans l’utilisation du « shell adb » pour l’exploiter, de sorte que le PoC est principalement destiné à la recherche et à la validation des mesures d’atténuation.
Cependant, comme nous l’avons vu à plusieurs reprises, il est toujours possible que l’exploit soit utilisé dans le cadre d’une chaîne d’exploits pour élever les privilèges sur un appareil déjà compromis.
Si votre appareil Android exécute quelque chose d’ancien que le niveau de correctif de sécurité Android 2023-12-05, envisagez de passer à une distribution activement prise en charge ou de passer à un modèle plus récent.