全链基带漏洞利用分析(第 1 部分)
2024-1-9 10:19:0 Author: paper.seebug.org(查看原文) 阅读量:26 收藏

作者:知道创宇404实验室翻译组
原文链接:https://labs.taszk.io/articles/post/full_chain_bb_part1/

在往期文章中,我们详细讨论了对完整通信链路中基带漏洞的最新研究成果。文中不仅介绍了针对联发科基带处理器的新型研究工具(用于联发科基带的 nanoMIPS 反编译器、调试器和仿真器),还对三星和联发科无线通信接口堆栈中的蜂窝网络处理器与应用处理器的相关组件进行了详细分析。

在这些接口中,最严重的漏洞可能允许攻击者通过无线方式对设备进行攻击。不仅可以在基带中实现零点击远程代码执行,还可以在Android运行环境中实施攻击。

众所周知,针对基带的全链漏洞利用已经私下存在并被广泛利用,最近“Predator Files”披露的文档中也有记录,表明其已被在野利用。

总的来说,我们发现了 17 个以上的漏洞(其中 16 个具有原始的 CVE 编号,这些漏洞主要源自三星和联发科的产品),关键部分表明其确实可以导致 Android 的空中漏洞利用。

在本系列中,我们提供了基带和“基带-应用处理器中枢”的漏洞细节,链接漏洞利用并达到远程代码执行。

本文中发布了来自 Hardwear.io 活动演讲资料,其中包括(幻灯片视频)、TASZK 团队的新公告以及 17 个发现漏洞中的 11 个的详细信息,还包括了一个针对三星基带漏洞利用的演示视频。

据 Google 称,首次将漏洞缓解措施应用于基带固件可以追溯到 2022 年。

虽然这种说法可能有争议,但可以肯定的是,芯片组制造商并不经常公开他们在基带漏洞缓解方面的工作。从这个角度来看,这种类型的出版物是非常宝贵的,如果更多的供应商能够分享类似的信息将会非常有益。历史上,从 2012 年的高通、2018 年的英飞凌 2019 年的华为三星、2022 年的联发科,还是 2022-2023 年的谷歌,我们可以看到供应商确实在逐步增强他们的基带利用缓解措施。

考虑到这一点,如果我们想了解各个 CVE 的真正影响,就必须分析它们的可利用性。

在理想情况下,我们希望能依赖于供应商来准确地公布安全漏洞的影响程度。然而,有时候官方的安全公告可能并不完全反映漏洞的严重性。例如,三星在其安全更新中对 CVE-2023-41111 和 CVE-2023-41112 的影响描述为“可能导致手机异常终止”,这可能低估了实际的安全风险。

本系列的其余部分涵盖可利用性分析:

  • 第 2 部分描述了联发科从 Helio 到 Dimensity 所做的堆实现更改,并根据这些更改分析了CVE-2022-21744使用元数据攻击的联发科基带 RCE 漏洞的可利用性。
  • 第 3 部分解释了如何利用联发科基带Pivot漏洞CVE-2022-21765 在 Dimensity 上实现对 Linux 内核中的远程执行代码。
  • 第 4 部分将包含对 CVE-2023-41111 和 CVE-2023-41112 的详细公告,并将介绍我们针对 CVE-2023-41111、CVE-2023-41112、CVE-2023-21517 和 CVE-2022-21744 等基带远程代码执行漏洞开发的新的基带堆溢出利用技术。最关键的是,它将阐述我们在研究中完全实现的三星基带远程代码执行漏洞的细节。
  • 在报告的第 5 部分,我们将发布关于三星基带中的 Pivot 漏洞的详细信息,涉及 CVE-2023-42529、CVE-2023-42528、CVE-2023-42527 和 CVE-2023-30739。此部分还将探讨这些漏洞的成功利用方法。为了增强理解,文末还会附上一个关于三星基带漏洞利用的视频演示。

有关漏洞详细信息、披露时间表以及受影响设备的列表,可参阅以下建议:

名称 Vendor CVE 访问向量 TASZK Advisory Vendor Bulletin
LTE NAS 堆缓冲区溢出漏洞 Samsung CVE-2023-21517 Remote https://labs.taszk.io/blog/post/85_ss_esm_bof/ June23
RIL IPC SIM 堆缓冲区溢出漏洞 三星 CVE-2023-30649 Pivot https://labs.taszk.io/blog/post/86_ss_sipc_heap_bof_1/ July23
RIL IPC 电话簿堆缓冲区溢出漏洞 三星 CVE-2023-30647 Pivot https://labs.taszk.io/blog/post/87_ss_sipc_heap_bof_2/ July23
RIL IPC SMS 堆缓冲区溢出漏洞 三星 CVE-2023-30646 Pivot https://labs.taszk.io/blog/post/88_ss_sipc_heap_bof_3/ July23
RIL IPC SMS 堆缓冲区溢出漏洞 三星 CVE-2023-30645 Pivot https://labs.taszk.io/blog/post/89_ss_sipc_heap_bof_4/ July23
RIL IPC IMEI 堆栈缓冲区溢出漏洞 三星 CVE-2023-30647 Pivot https://labs.taszk.io/blog/post/90_ss_sipc_stack_bof_1/ July23
RIL IPC SMS 堆栈缓冲区溢出漏洞 三星 CVE-2023-30648 Pivot https://labs.taszk.io/blog/post/91_ss_sipc_stack_bof_2/ July23
RLC 控制堆缓冲区溢出漏洞 联发科 CVE-2022-21744 Remote https://labs.taszk.io/blog/post/84_mtk_pncd_bof/ July22
CCCI 驱动堆栈缓冲区溢出 联发科 CVE-2022-21766 Pivot https://labs.taszk.io/blog/post/83_mtk_ccci3_bof/ July22
CCCI 驱动程序 OOB 编写漏洞 联发科 CVE-2022-21765 Pivot https://labs.taszk.io/blog/post/81_mtk_ccci1_oob_write/ July22
CCCI 驱动 OOB 读取漏洞 联发科 CVE-2022-21769 Pivot https://labs.taszk.io/blog/post/82_mtk_ccci2_oob_read/ July22

正如在演讲中提到的,由于在四月份报告给三星的基带加Pivot漏洞链尚未得到修复,我们在Hardwear.io会议上不得不略过一些额外的漏洞。但在会议结束后的 4 天,相关漏洞补丁发布。

这些基带和 Android CVE 漏洞现在可以在 2023 年 11 月的三星安全更新三星移动安全更新中找到。

名称 厂商 CVE 访问向量 TASZK Advisory Vendor Bulletin
RLC缓冲区溢出漏洞 三星 CVE-2023-41111 Remote n/a Nov23
RLC缓冲区溢出漏洞 三星 CVE-2023-41112 Remote n/a Nov23
RIL堆缓冲区溢出漏洞 三星 CVE-2023-30644 Pivot n/a Nov23
RIL越界写入漏洞 三星 CVE-2023-42529 Pivot n/a Nov23
RIL输入验证不当漏洞 三星 CVE-2023-42527 Pivot n/a Nov23
RIL任意文件写入漏洞 三星 CVE-2023-30739 Pivot n/a Nov23

虽然安全更新已经发布,但需要注意的是三星只对其支持的部分设备提供每月更新,而其他设备则可能只接收季度更新。此处可看到更多有关他们的补丁策略信息。

正因如此,我们决定暂时不公开 CVE-2023-41111、CVE-2023-41112、CVE-2023-42529、CVE-2023-42528、CVE-2023-42527 和 CVE-2023-30739 的完整细节。

同时,我们发布了关于 CVE-2023-41111 和 CVE-2023-41112 在三星 Galaxy S21 基带中的概念验证视频。

此视频未透露漏洞利用的具体细节,但演示了成功利用“Pwn2Own classic”有效载荷的过程:通过重写设备的IMEI来显示手机在利用后对移动终端身份请求的响应,从而证明设备运行时环境已受到破坏。

点击可观看演示视频

Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/3099/


文章来源: https://paper.seebug.org/3099/
如有侵权请联系:admin#unsafe.sh