Investigadores de Google Revelan Vulnerabilidad de ‘Alta Severidad’ en GPUs Qualcomm Adreno

El equipo de Project Zero (GPZ) de Google ha divulgado un fallo de seguridad de “alta” severidad en las GPUs Qualcomm Adreno. Dado que el fabricante de chips no pudo desarrollar un parche adecuado dentro de los 90 días posteriores a la notificación de Project Zero, Google ha publicado ahora los detalles del error.

Para aquellos que no lo sepan, bajo la política de divulgación revisada, GPZ debe esperar al menos 90 días antes de revelar públicamente los detalles de un error de seguridad, incluso si el error se corrige antes de esa fecha límite. Además, los proveedores pueden solicitar un período de gracia adicional de 14 días a Google si creen que no podrán corregir la vulnerabilidad reportada dentro de los 90 días.

El controlador de GPU Adreno asocia una estructura de dispositivo privada (“process_priv”) con cada descriptor de archivo KGSL, que contiene las tablas de páginas que se utilizan para el cambio de contexto de la GPU. Esta estructura está vinculada al PID del proceso que llama y puede ser reutilizada múltiples veces por descriptores de archivo KGSL adicionales en el mismo proceso (presumiblemente para ahorrar el costo de realizar un cambio de contexto de GPU entre contextos de dibujo en el mismo proceso).

Cuando un proceso se bifurca, el hijo hereda los descriptores de archivo KGSL del padre junto con la estructura privada asociada con el PID del padre. Si un proceso hijo tiene un descriptor de archivo KGSL que fue abierto originalmente en un proceso padre, y si ese proceso padre sale, entonces el hijo aún mantiene una referencia a la estructura privada asociada con el PID del padre.

Sin embargo, si el PID del padre es reutilizado por un proceso víctima, entonces la víctima reutilizará la estructura privada existente en lugar de crear una nueva. En la práctica, esto le da al proceso hijo (un atacante) la capacidad de leer cualquier mapeo compartido de GPU subsiguiente que el proceso víctima cree, ya que sus contextos de dibujo se consideran que se están ejecutando en el mismo contexto de GPU.

Según Google Project Zero, “un ataque en el mundo real requeriría que el atacante haga un bucle del PID y luego active ya sea un intento bien cronometrado o un reinicio del servicio del sistema a través de un error de bloqueo. La explotación probablemente intentaría recuperar el contenido de la composición de GPU de la víctima (o los resultados de otras operaciones de GPU).”

El 15 de septiembre de 2020, el equipo de investigación de Google contactó a Qualcomm para reportar la vulnerabilidad junto con sugerencias de corrección de errores. El equipo de investigación dio a Qualcomm un plazo de 90 días bajo la política de divulgación revisada (que expiraría el 14 de diciembre) para corregir el problema antes de revelar públicamente los detalles del error.

Además, el 7 de diciembre de 2020, Qualcomm informó a Project Zero que el problema (CVE-2020-11311) estaba resuelto y compartió en el boletín privado de OEM con un aviso público planeado para enero de 2021. A esto, el equipo de investigación de Google respondió que el problema se divulgaría el 14 de diciembre y solicitó un enlace a los parches relevantes, que fue proporcionado rápidamente por Qualcomm.

Al investigar el parche propuesto, Google encontró que introducía un problema de conteo de referencias que conducía a un UAF explotable (por ejemplo, el parche para este error de fuga de información está introduciendo un error de escalada de privilegios del kernel). Project Zero compartió detalles del nuevo UAF que introduce el parche el 10 de diciembre de 2020, a lo que Qualcomm respondió que estaban investigando la nueva información.

Dado que Qualcomm no cumplió con la fecha límite del 14 de diciembre, Project Zero ha procedido a exponer públicamente el fallo de alta severidad en el controlador de GPU Adreno. Si bien bajo la política de divulgación revisada, los proveedores pueden solicitar un período de gracia adicional de 14 días para corregir el fallo, no está claro en el boletín de Google si Qualcomm lo ha hecho.

Con el error de seguridad ahora público, Qualcomm tiene que acelerar el proceso antes de que cualquier atacante encuentre una forma efectiva de explotar la vulnerabilidad.