Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/10/2016
Anunciadas vulnerabilidades que permiten tomar el control de móviles Samsung
Investigadores de la compañía israelí Viral Security Group han anunciado un grupo de tres vulnerabilidades en el sistema Knox de Samsung que podrían permitir a un atacante tomar el control total de smartphones Galaxy S6 y Note 5.En esta ocasión las vulnerabilidades han quedado bautizadas bajo el nombre de KNOXout. Aunque con un CVE único (CVE-2016-6584) se engloban las tres vulnerabilidades descubiertas en Samsung KNOX. Todas pueden permitir la escalada de privilegios y fueron reportadas a la firma de forma responsable.
Samsung KNOX es el nombre empleado por Samsung para ofrecer una colección de características de seguridad implementadas en sus dispositivos Android. Algunos de los módulos son de cara al usuario (como la aplicación My KNOX), mientras que otros realizan su función en segundo plano.
Es en uno de los módulos en segundo plano donde los investigadores han encontrado los problemas. Concretamente en el TIMA RKP (Real-time Kernel Protection), responsable de la defensa del sistema en caso de un exploit exitoso del kernel.
Los investigadores han publicado un completo documento en el que explican como un exploit estándar para conseguir root ataca el kernel y explora los mecanismos de protección del módulo RKP que protege ante este tipo de exploits. Tras ello evitan las protecciones y consiguen ejecutar código con permisos del sistema. Un acceso a la cuenta del sistema permite al atacante tomar el control del dispositivo y realizar cualquier acción sin conocimiento del usuario.
El equipo de Viral Security Group profundiza en el módulo RKP, para identificar las pruebas específicas realizadas para evitar la escalada de privilegios. Y aprovechan este conocimiento para evitar el módulo RKP y conseguir privilegios de root. Además, desactivan las protecciones adicionales del kernel y consiguen cargar un módulo kernel personalizado, sin firmar, con el fin de volver a montar la partición /system con permisos de escritura.
Como prerequisito para atacar el módulo RKP es necesario una vulnerabilidad "write-what-where" del kernel (una vulnerabilidad que puede permitir escribir un valor arbitrario en cualquier dirección). Para ello se puede emplear cualquier vulnerabilidad, pero los investigadores han empleado la vulnerabilidad CVE-2015-1805, explotable en algunos de los más nuevos dispositivos Samsung (como los Galaxy S6 y Galaxy Note 5), y cuenta con un exploit open-source implementado conocido como iovyroot2.
Los investigadores también han publicado un video que muestra el funcionamiento de la prueba de concepto de esta vulnerabilidad.
Sistemas Afectados:Smartphone Samsung con Samsung Knox.
Referencias:CVE-2016-6584
Solución:Todavía no se ha publicado solución a esta vulnerabilidad.
Notas:Hispasec una-al-dia
KNOXout (CVE-2016-6584) - Bypassing Samsung KNOX
Download Whitepaper
Proof-of-Concept Repository
Samsung KNOX
CVE-2015-1805 root tool (iovyroot)