Pesquisadores do Google Revelam Vulnerabilidade de 'Alta Severidade' em GPUs Qualcomm Adreno

A equipe do Project Zero (GPZ) do Google divulgou uma falha de segurança de “alta” severidade nas GPUs Qualcomm Adreno. Como o fabricante de chips não conseguiu desenvolver um patch adequado dentro de 90 dias após receber a notificação do Project Zero, o Google agora divulgou publicamente os detalhes do bug.

Para aqueles que não estão cientes, sob a política de divulgação revisada, o GPZ precisa esperar pelo menos 90 dias antes de revelar publicamente os detalhes de um bug de segurança, mesmo que o bug seja corrigido antes desse prazo. Além disso, os fornecedores podem solicitar um período de carência adicional de 14 dias ao Google se acreditarem que não conseguirão corrigir a vulnerabilidade relatada dentro de 90 dias.

O driver da GPU Adreno associa uma estrutura de dispositivo privada (“process_priv”) a cada descritor de arquivo KGSL, que contém as tabelas de páginas usadas para a troca de contexto da GPU. Essa estrutura está ligada ao PID do processo chamador e pode ser reutilizada várias vezes por descritores de arquivo KGSL adicionais no mesmo processo (presumivelmente para economizar o custo de realizar uma troca de contexto da GPU entre contextos de desenho no mesmo processo).

Quando um processo é bifurcado, o filho herda os descritores de arquivo KGSL do pai junto com a estrutura privada associada ao PID do pai. Se um processo filho possui um descritor de arquivo KGSL que foi originalmente aberto em um processo pai, e se esse processo pai sai, então o filho ainda mantém uma referência à estrutura privada associada ao PID do pai.

No entanto, se o PID do pai for reutilizado por um processo vítima, então a vítima reutilizará a estrutura privada existente em vez de criar uma nova. Na prática, isso dá ao processo filho (um atacante) a capacidade de ler quaisquer mapeamentos compartilhados da GPU subsequentes que o processo vítima cria, uma vez que seus contextos de desenho são considerados como se estivessem rodando no mesmo contexto da GPU.

De acordo com o Google Project Zero, “um ataque no mundo real exigiria que o atacante fizesse um loop no PID e então acionasse um intento bem cronometrado ou reinício do serviço do sistema via um bug de falha. O exploit então provavelmente tentaria recuperar o conteúdo da composição da GPU da vítima (ou os resultados de outras operações da GPU).”

Em 15 de setembro de 2020, a equipe de pesquisa do Google contatou a Qualcomm para relatar a vulnerabilidade junto com sugestões de correção de bugs. A equipe de pesquisa deu à Qualcomm um prazo de 90 dias sob a política de divulgação revisada (que expiraria em 14 de dezembro) para corrigir o problema antes de revelar publicamente os detalhes do bug.

Além disso, em 7 de dezembro de 2020, a Qualcomm informou ao Project Zero que o problema (CVE-2020-11311) foi resolvido e compartilhado no boletim privado da OEM com um aviso público planejado para janeiro de 2021. Em resposta, a equipe de pesquisa do Google afirmou que o problema seria divulgado em 14 de dezembro e solicitou um link para os patches relevantes, que foi prontamente fornecido pela Qualcomm.

Ao investigar o patch proposto, o Google descobriu que ele introduziu um problema de contagem de referências levando a um UAF explorável (por exemplo, o patch para esse bug de vazamento de informações está introduzindo um bug de escalonamento de privilégios do kernel). O Project Zero compartilhou detalhes do novo UAF que o patch introduz em 10 de dezembro de 2020, ao qual a Qualcomm respondeu que estava investigando as novas informações.

Como o prazo de 14 de dezembro não foi cumprido pela Qualcomm, o Project Zero avançou e expôs publicamente a falha de alta severidade no driver da GPU Adreno. Embora sob a política de divulgação revisada, os fornecedores possam solicitar um período de carência adicional de 14 dias para corrigir a falha, não está claro no boletim do Google se a Qualcomm fez isso.

Com o bug de segurança agora público, a Qualcomm precisa acelerar o processo antes que qualquer atacante encontre uma maneira eficaz de explorar a falha.