As atualizações de segurança do Android deste mês abordam 46 vulnerabilidades, incluindo uma execução remota de código (RCE) de alta gravidade que foi explorada em ataques direcionados. A vulnerabilidade zero-day, identificada como CVE-2024-36971, é uma falha de uso após liberação (UAF) no gerenciamento de rotas de rede do kernel Linux. Para ser explorada com sucesso, ela requer privilégios de execução do sistema e permite a alteração do comportamento de certas conexões de rede.
O Google informou que há indícios de que a CVE-2024-36971 pode estar sendo explorada de forma limitada e direcionada, com agentes de ameaças utilizando-a para obter execução arbitrária de código sem a necessidade de interação do usuário em dispositivos desatualizados. Clément Lecigne, pesquisador de segurança do Grupo de Análise de Ameaças (TAG) do Google, foi quem descobriu e relatou essa vulnerabilidade zero-day.
Embora o Google ainda não tenha divulgado detalhes específicos sobre como a falha está sendo explorada ou sobre os agentes de ameaça envolvidos, os pesquisadores de segurança do TAG frequentemente identificam e relatam zero-days utilizados em ataques de softwares de vigilância patrocinados por estados, direcionados a indivíduos de alto perfil.
Os patches de código-fonte para essas falhas serão disponibilizados no repositório do Android Open Source Project (AOSP) nas próximas horas. No início deste ano, o Google corrigiu outra vulnerabilidade zero-day explorada em ataques: uma falha de elevação de privilégio (EoP) de alta gravidade no firmware do Pixel, rastreada como CVE-2024-32896 pelo Google e CVE-2024-29748 pelo GrapheneOS, que foi quem encontrou e relatou a falha. Empresas forenses exploraram essa vulnerabilidade para desbloquear dispositivos Android sem um PIN, obtendo acesso aos dados armazenados.
O Google lançou dois conjuntos de patches para as atualizações de segurança de agosto: os níveis de patch de segurança 2024-08-01 e 2024-08-05. Este último inclui todas as correções de segurança do primeiro conjunto, além de patches adicionais para componentes de código fechado e kernel de terceiros, como uma vulnerabilidade crítica (CVE-2024-23350) em um componente de código fechado da Qualcomm.
Vale ressaltar que, enquanto os dispositivos Google Pixel recebem atualizações de segurança mensais imediatamente após o lançamento, outros fabricantes podem demorar um pouco mais para liberar os patches. Esse atraso é necessário para testes adicionais dos patches de segurança, garantindo a compatibilidade com diversas configurações de hardware.
Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.