Анализ современного в дикой природе эксплойта для Android

В декабре 2022 года команда Google по анализу угроз обнаружила цепочку эксплуатации, нацеленную на устройства Samsung Android. Эта цепочка эксплуатации использовала 0-дневную уязвимость в слое совместимости ALSA, CVE-2023-0266, и 0-дневную уязвимость в драйвере GPU Mali, CVE-2023-2608. Эксплуатация включала гонку за ресурсами в драйвере ALSA, что позволяло использовать технику рассеивания кучи с помощью функций драйвера GPU Mali. Атакующие использовали рассеивание кучи, чтобы получить контроль над счетчиком программы и затем эксплуатировали уязвимость CVE-2023-0266, чтобы получить произвольный доступ на чтение/запись в ядре. Эксплуатация также использовала уязвимость CVE-2023-26083, чтобы утечь информацию о пространстве адресов ядра и преодолеть KASLR. Цепочка эксплуатации была объединена с детерминированной, высоконадежной техникой произвольного чтения/записи, используя подсистему VFS ядра Linux. Эксплуатация заменила ashmem_misc.fops указателем на фиктивный struct file_operations, что позволяло контролировать операции с файлами, создаваемыми при открытии /dev/ashmem. Эта эксплуатация была обнаружена в дикой природе в декабре 2022 года и с тех пор была исправлена.