三星设备高危零日漏洞CVE-2024-44068简单分析

Exynos是三星电子基于ARM构架设计研发的处理器品牌，于2011年2月面世，Exynos由两个希腊语单词组合而来：Exypnos和Prasinos。

这两个单词分别代表“智能”与“环保”之意，而Exynos系列处理器主要应用在智能手机和平板电脑等移动终端上，该处理器集成了各种功能。

一、基本情况

三星开发了支持大小核 (big.LITTLE) 技术的八核中央处理器，该技术提升了计算性能和能效。Exynos 处理器旨在改善日常生活以及地球。

Exynos集成了中央处理器、图形处理器、多格式编解码器、图像信号处理器、显示和安全性，NPU和数字信号处理器以及5G调制解调器。

栋科技漏洞库注意到三星2024年10月07日发布公告，修复三星手机与穿戴装置Exynos处理器的重大漏洞，漏洞追踪为CVE-2024-44068。

二、漏洞分析

CVE-2024-44068漏洞的CVSS3.1评分为8.1分，三星集团安全公告提示：移动处理器中的“自由使用”（Use-After-Free）会导致权限升级。

谷歌设备和服务安全研究员Jin发现并报告了这一高危漏洞，它影响三星Exynos移动处理器版本9820、9825、980、990、850以及W920。

具体来说，这一漏洞存在于三星移动处理器和可穿戴处理器Exynos 9820、9825、980、990、850以及W920中的m2m缩放器驱动程序中。

谷歌威胁分析小组成员 Lecigene 和谷歌设备和服务安全研究员Jin指出，该漏洞存在于内存管理以及设备驱动程序设置页面映射的方式中。

两位来自谷歌的安全人员表示，这个0day漏洞是EoP利用链的一部分，攻击者可以通过升级权限，在特权相机服务器进程中执行任意代码。

该漏洞还将进程名称本身重命名为vendor.samsung.hardware.camera.provider@3.0-service，之所以这么命名，可能是出于反取证目的。

细节方面，漏洞位于处理器驱动程式IOCTL M2M1SHOT_IOC_PROCESS，它主要功能是提供JPEG解码和图形缩放等功能的硬体加速。

通过IOCTL M2M1SHOT_IOC_PROCESS交互将使用者空间页面（userspace page）对应I/O页，然后执行固件命令并删除映射I/O页面。

在虚拟记忆体系统之中，当应用程式访问I/O设备的时候，I/O虚拟记忆体页（virtual page）会被对应到物理记忆体页（physical pages）。 

而 PFNMAP（Page Frame Number Map）的作用呢，则是管理这些对应，从而确保虚拟页面能够正确对应到物理页（physical pages）。

黑客利用漏洞扰乱对应过程释放实体记忆体，再透过IOCTL呼叫进行核心空间映射攻击（Kernel Space Mirroring Attack）执行远程指令。

简单理解，就是这一漏洞是通过取消映射 PFNMAP 页来工作，从而导致“释放后使用”漏洞，即 I/O 虚拟页可能映射到已释放的物理内存。

然后利用代码使用特定的固件命令复制数据覆盖页表中的页中间目录（PMD）条目，再通过各种手段导致内核空间镜像攻击 （KSMA）。

这些攻击手段包括但不限于通过向页表发送垃圾邮件、操纵内核内存和利用释放的页面，这样就可能导致内核空间镜像攻击 （KSMA）。

谷歌威胁分析小组（TAG）认为，攻击者利用该漏洞在安卓设备上提权，且已与其他漏洞连锁，可在易受攻击的设备上实现任意代码执行。

三星集团已于2024年10月07日发布公告表示，官方已发布安全更新解决这一漏洞，但三星公司并未证实这一漏洞是否在野外被积极利用。

三、参考链接

https://semiconductor.samsung.com/support/quality-support/product-security-updates/cve-2024-44068/