Google behebt schwerwiegende Sicherheitslücke im Android-Kernel
Google hat eine schwerwiegende Sicherheitslücke im Android-Kernel behoben, die nach eigenen Angaben bereits aktiv ausgenutzt wurde. Die als CVE-2024-36971 bekannte Schwachstelle ermöglicht Remote-Code-Ausführung im Kernel.
Wenn es um das Eingestehen eigener Schwächen geht, ist Google nicht unbedingt für einen ergiebigen Informationsfluss bekannt. So ist im monatlichen Android-Sicherheitsbulletin für August 2024 lediglich zu lesen, dass es „Hinweise darauf gibt, dass CVE-2024-36971 gezielt und begrenzt ausgenutzt wird“. Wie üblich teilte das Unternehmen keine weiteren Details zur Art der Cyberangriffe oder zu den Angreifern mit, welche die Schwachstelle ausnutzen. Laut dem Pixel-Update-Bulletin ist auch die eigene Pixel-Produktlinie von Google von dem Fehler betroffen.
Immerhin wird die Entdeckung der Schwachstelle Clement Lecigne von Googles Threat Analysis Group (TAG) wird zugeschrieben. Das wiederum lässt vermuten, dass die Sicherheitslücke wahrscheinlich von kommerziellen Spyware-Anbietern genutzt wird, um Android-Geräte in gezielten Angriffen zu infiltrieren.
Das August-Update behebt insgesamt 47 Schwachstellen, darunter solche in Komponenten von Arm, Imagination Technologies, MediaTek und Qualcomm. Außerdem wurden zwölf Schwachstellen zur Privilegien-Ausweitung, ein Informationsleck und ein Denial-of-Service (DoS)-Fehler im Android-Framework behoben.
Im Juni 2024 hatte Google bekannt gegeben, dass ein Problem mit der Privilegien-Ausweitung in der Pixel-Firmware (CVE-2024-32896) als Teil gezielter Angriffe ausgenutzt wurde. Google teilte mit, dass die Auswirkungen dieses Problems über Pixel-Geräte hinaus auch die Android-Plattform betreffen und dass das Unternehmen mit OEM-Partnern zusammenarbeitet, um die notwendigen Korrekturen anzuwenden.
Zuvor hatte Google bereits zwei Sicherheitslücken in den Bootloader- und Firmware-Komponenten (CVE-2024-29745 und CVE-2024-29748) geschlossen, die von forensischen Unternehmen genutzt wurden, um sensible Daten zu stehlen.
Die Entwicklung kommt zu einem Zeitpunkt, da die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) CVE-2018-0824, eine Schwachstelle zur Remote-Code-Ausführung in Microsoft COM für Windows, in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen hat. Bundesbehörden sind verpflichtet, die Patches bis zum 26. August 2024 anzuwenden.
Die Aufnahme erfolgte nach einem Bericht von Cisco Talos. Dem zufolge hat ein chinesischer, staatlich geförderter Bedrohungsakteur namens APT41 die Schwachstelle ausgenutzt. Der Angriff richtete sich gegen ein nicht namentlich genanntes taiwanesisches, regierungsnahes Forschungsinstitut. Das Ziel des Angriffs war es, lokale Privilegien-Erweiterung zu erreichen.
Am 7. August 2024 hat die CISA CVE-2024-36971 in ihren KEV aufgenommen. Als Termin für die Anwendung der Patches bei den Bundesbehörden ist hier der 28. August 2024 angegeben.