Google corrige une vulnérabilité du noyau Android activement exploitée

Android

Google a publié la deuxième partie du correctif de sécurité de mai pour Android, y compris un correctif pour une vulnérabilité du noyau Linux activement exploitée.

La faille, identifiée comme CVE-2021-22600, est un bug d’escalade de privilèges dans le noyau Linux que les pirates peuvent exploiter via un accès local. Comme Android utilise un noyau Linux modifié, la vulnérabilité affecte également le système d’exploitation.

Les chercheurs de Google ont révélé la vulnérabilité Linux en janvier et ont également introduit une réparation qui a été divulgué de manière responsable aux fournisseurs Linux. Cependant, il a fallu quelques mois pour corriger cette vulnérabilité dans le propre système d’exploitation Android de Google.

En avril, CISA a révélé que cette vulnérabilité était activement exploitée dans des attaques et l’a ajoutée à son ‘Catalogue des vulnérabilités exploitées connues.’ Dans le Bulletin de sécurité Android de maiGoogle confirme que « CVE-2021-22600 peut faire l’objet d’une exploitation limitée et ciblée ».

La manière dont la vulnérabilité est utilisée dans les attaques n’est pas claire, mais elle est probablement utilisée pour exécuter des commandes privilégiées et se propager latéralement via les systèmes Linux dans les réseaux d’entreprise.

Les versions récentes d’Android (10, 11, 12) ont intégré des autorisations de plus en plus strictes, ce qui rend difficile pour les logiciels malveillants d’acquérir les autorisations nécessaires aux fonctions avancées. En tant que tel, se tourner vers l’exploitation des failles post-infection pour obtenir des privilèges élevés n’est pas improbable.

Une deuxième utilisation potentielle de cette vulnérabilité concerne les outils d’enracinement de l’appareil que les utilisateurs installent et activent eux-mêmes pour obtenir des privilèges root sur l’appareil.

Voici un résumé de ce qui a été corrigé ce mois-ci :

  • Quatre failles d’élévation de privilèges (EoP) et une faille de divulgation d’informations (ID) dans le cadre Android
  • Trois failles EoP, deux ID et deux failles de déni de service (DoS) dans le système Android
  • Trois failles EoP et une faille d’identification dans les composants du noyau
  • Trois vulnérabilités de haute gravité dans les composants MediaTek
  • 15 failles de gravité élevée et une de gravité critique dans les composants Qualcomm

Notez que le correctif pour CVE-2021-22600 et tous ceux provenant de fournisseurs tiers sont disponibles au niveau du correctif de sécurité 2022-05-05, et non au niveau du premier correctif de sécurité publié le 1er mai 2022.

Quoi qu’il en soit, tous ces correctifs sont toujours intégrés au premier niveau de correctif de sécurité du mois prochain, qui doit être publié le 1er juin 2022.

Si vous utilisez Android 9 ou une version antérieure, ce correctif de sécurité ne s’applique pas à votre appareil et vous devez effectuer une mise à niveau vers une version plus récente du système d’exploitation Android pour des raisons de sécurité.

Ceux qui utilisent des appareils Google Pixel ont reçu correctifs supplémentaires ce mois-ci, l’un d’eux n’affectant que la gamme Pixel 6 Pro la plus récente qui utilise la puce Titan-M.

Les deux plus intéressantes sont CVE-2022-20120, une vulnérabilité critique d’exécution à distance impactant le bootloader, et CVE-2022-20117, un bug critique de divulgation d’informations sur Titan-M.