Четыре уязвимости нулевого дня в Android, вероятно, использовались в целевых атаках ещё до того, как о них узнали разработчики операционной системы. В майском обновлении эти «баги» устранены вместе со множеством других. Атакуемые уязвимости не являются критическими.
Четыре уязвимости «нулевого дня»
Эксперты Google Project Zero сообщили, что майское обновление операционной системы Android устраняет сразу четыре уязвимости «нулевого дня», которые активно эксплуатировались хакерами в целевых атаках. Подробностей о том, что это за атаки, Google в своей публикации не привел.
Уязвимости CVE-2021-1905 и CVE-2021-1906 затрагивали устройства на базе схемотехники Qualcomm. Первая из них относится к классу Use After Free (использование уже освобождённой области памяти), вторая обозначена как «Детектирование состояния ошибки без принятия надлежащих действий» и может приводить к сбоям в адресации. Обе уязвимости выявлены в графических компонентах процессоров Qualcomm.
В свою очередь, уязвимости CVE-2021-28663 и CVE-2021-28664 затрагивают графические компоненты ARM (GPU-ядро Mali). Успешная их эксплуатация может позволить непривилегированному пользователю получить привилегии суперпользователя (root), выводить информацию, нарушать целостность памяти и модифицировать области памяти, выделенные под другие процессы.
Перечисленные уязвимости обозначены как средне- и высокоопасные, но не критические.
Без критических не обошлось
Свежее обновление Android также исправляет четыре критические уязвимости в компоненте System, которые позволяют запускать произвольный код удалённо в котексте привилегированного процесса.
«Любопытно, что в атаках эксплуатируются уязвимости, не добравший очков до критического статуса, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Указанная в бюллетене вероятность «ограниченной эксплуатации» означает, что кто-то использовал эти уязвимости нулевого дня в узконаправленных целевых атаках, хорошо зная, что делает. Теперь, вероятно, злоумышленники бросятся искать способы эксплуатировать именно критические уязвимости из бюллетеня, стараясь успеть до того, как обновления распространятся на большинство устройств под Android».
Киберкриминал действительно стал всё более оперативно реагировать на появление информации о новых уязвимостях: по данным Palo Alto Networks, киберзлоумышленники начинают сканировать Сеть в поисках уязвимых разработок спустя считанные минуты после публикации бюллетеней о критических уязвимостях. Например, когда в марте были опубликованы сведения о «багах» в Microsoft Exchange Server, сканирование началось уже через пять минут после выхода публикации.
Не исключено, что и сейчас уже злоумышленники активно сканируют Сеть в поисках необновлённых устройств.