[PS4] L'exploit webkit 0-day montré à la BlackHat

Playstation 3 / 4

Les développeurs Mehdi Talbi et Quentin Meffre viennent de dévoiler leur faille du webkit sous le firmware 6.xx sur une PS4 lors d'une conférence à la BlackHat qui s'est tenue durant les 3 derniers jours, et qui ferme ses portes ce soir.

Ces deux développeurs ( 0xdagger et abu_y0ussef) ont expliqué comment ils ont réussi à trouver une faille WebKit 0-day sur le firmware 6.xx, rappelant que le navigateur webkit est généralement exposé comme un point d'entrée d'une attaque complète du kernel, affirmant que le bug qu'ils ont trouvé fournit des primitives d'exploitation limitées, mais ils mettent aussi en avant qu'il a pu être trouvé grâce à des faiblesses sécuritaires dans le mécanisme ASLR.

Le bug utilisé est présent dans le moteur DOM du navigateur, plus précisément il est présent dans le call WebCore::ValidationMessage::buildBubbleTree. Les développeurs WebKit ont identifié que des problèmes peuvent survenir lors de la mise à jour du style ou de la mise en page.

En fait, pour parler simplement, les deux développeurs ont analysé le code et la correction du bug, et ensuite ont tenté de débuguer le bug pour rendre un objet vulnérable.

L'exploit a été publié ici : PS4-webkit-exploit-6.XX

Le portage sur un firmware 7.xx ?

Ils ont réussi à exploiter notre bug sur le firmware 6.xx grâce au manque de sécurité sur l'ASLR qui a permis de prédire l'adresse des objets HTML. L'adresse prévisible est codée en dur dans l'exploit et a été identifiée grâce à l'exploit "bad-hoist". Cependant, sans connaissance préalable sur le mappage de la mémoire, la seule façon de déterminer l'adresse de nos objets HTMLElement pulvérisés est de forcer cette adresse.

Pour pouvoir continuer leur recherche, il faudra utiliser la force brute mais l'utilisation de celle-ci sur PS4 est fastidieuse car elle demande une interaction avec l'utilisateur, car le navigateur crashe toutes les 5 secondes, l'idée est pouvoir utiliser à terme un Raspberry Pi pour stocker l'adressage multiple de la force brute dans un cookie et ainsi progresser sur un éventuel hack du 7.xx.

Tout est là : synacktiv.com

Jeudi 10 Décembre 2020, 16:34 par tralala

Source : synacktiv.com

aboubacar

10 décembre 2020, 16:51

Wahou sa va prendre plus de temps que prévu mais la patience est la clé de la réussite

overload

10 décembre 2020, 18:32

les recherche a base de brute force c'est quitte ou double ,15 jours comme 15 ans , bref au final je ne comprends pas bien toute les déclarations annonçant une faille webkit 7.02 , je crois que les gens se sont emballer trop vite , ou alors j'ai raté un truc

darkstorm

10 décembre 2020, 19:19

les recherche a base de brute force c'est quitte ou double ,15 jours comme 15 ans , bref au final je ne comprends pas bien toute les déclarations annonçant une faille webkit 7.02 , je crois que les gens se sont emballer trop vite , ou alors j'ai raté un truc

je confirme, ça s'emballe un peu trop vite ..

darkstorm

10 décembre 2020, 19:22

"l'idée est pouvoir utiliser à terme un Raspberry Pi pour stocker l'adressage multiple de la force brute dans un cookie et ainsi progresser sur un éventuel hack du 7.xx. "

l'idée c'est plutôt de plugger un raspi pour SIMULER l'interaction humaine, a savoir presser la touche enter quand le browser crash. Stocker le cookie tu peux déjà le faire sur la ps4

iPreDaTeuR--

10 décembre 2020, 20:28

Peut être il y a un moyen de predire plus précisement dans quel zone d'adresse mémoire ça sera ...

Par contre si c'est un 0day je comprend pas pourquoi il essaye pas directement sur le dernier fw 8.03 ?

Ou sur le webkit de la PS5 ?

Løtus51

10 décembre 2020, 20:37

Peut être il y a un moyen de predire plus précisement dans quel zone d'adresse mémoire ça sera ...
Par contre si c'est un 0day je comprend pas pourquoi il essaye pas directement sur le dernier fw 8.03 ?

Ou sur le webkit de la PS5 ?

Pour pouvoir l'utiliser sur un Kernel exploit connu ?

hackever

10 décembre 2020, 20:55

bein pour pas avoir de procés au cul, jpense

Linkynimes

10 décembre 2020, 20:59

Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware

iPreDaTeuR--

10 décembre 2020, 21:44

Peut être il y a un moyen de predire plus précisement dans quel zone d'adresse mémoire ça sera ...
Par contre si c'est un 0day je comprend pas pourquoi il essaye pas directement sur le dernier fw 8.03 ?

Ou sur le webkit de la PS5 ?
Pour pouvoir l'utiliser sur un Kernel exploit connu ?

Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware

Il faut vous rappeler que les actuels exploit complet ont été permis apres qu'un kernel exploit soit releasé des mois apres que des webkit exploit était dispo?

Il est evident qu'il irais pas plus loin pour l'instant qu'un exploit webkit mais ils peuvent déjà se positionner comme étant les auteurs d'un exploit webkit sur PS4 8.03 et PS5 2.30...

tikilou

11 décembre 2020, 02:44

Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware

Tous les firmwares sont déjà tombés, d'ex hackers qui furent connus et ont quitté la scène, ont déjà toutes les entrées, qui ne sont pas corrigées par Sony car pas publiée, à l'exception d'une, le syscon. (Mais ça bosse).
Je ne peux malheureusement pas en dire plus, si ce n'est que Zecoxao (le seul à s'afficher publiquement) ne bosse pas seul pour péter ce contrôleur, et qu'il a de grosses pointures avec lui.

Soyez patient, car si le syscon saute, la PS5 pourrait probablement être mise à mal aussi.

overload

11 décembre 2020, 07:37

Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware

Tous les firmwares sont déjà tombés, d'ex hackers qui furent connus et ont quitté la scène, ont déjà toutes les entrées, qui ne sont pas corrigées par Sony car pas publiée, à l'exception d'une, le syscon. (Mais ça bosse).
Je ne peux malheureusement pas en dire plus, si ce n'est que Zecoxao (le seul à s'afficher publiquement) ne bosse pas seul pour péter ce contrôleur, et qu'il a de grosses pointures avec lui.
Soyez patient, car si le syscon saute, la PS5 pourrait probablement être mise à mal aussi.

J'ai du mal à croire que le syscon PS4 ai des points commun avec celui de la PS5 bizarre comme déclaration , bref si tu le dit...

tikilou

11 décembre 2020, 11:02

J'ai du mal à croire que le syscon PS4 ai des points commun avec celui de la PS5 bizarre comme déclaration , bref si tu le dit...

Sony utilise le syscon depuis la Vita et l'a réimplémenté dans la PS4, et la PS5 serait relativement proche de cette dernière (une évolution, pas une refonte complète de l'architecture)

Chaque fois que l'ingénieurerie d'une console est désossée, ça peut aider pour la suivante ou à côté, si le fabricant n'a pas corrigé l'approche pour s'adapter entre temps.

tralala

11 décembre 2020, 11:54

https://twitter.com/...170261515317251

sleirsgoevy semble s'y intéressé

En ce qui concerne le nouvel exploit divulgué à BHEU: est-ce que quelqu'un pourrait exécuter ceci ( https: // pastebin.com/BjrB7F2D ) ou un code équivalent sur un firmware 5.05 / autre non-6.XX et m'envoyer les journaux? Le modèle est évident, mais j'aimerais savoir à quelles différences s'attendre et à quoi faire pour utiliser la force brute.

acdeco

11 décembre 2020, 16:29

"l'idée est pouvoir utiliser à terme un Raspberry Pi pour stocker l'adressage multiple de la force brute dans un cookie et ainsi progresser sur un éventuel hack du 7.xx. "

l'idée c'est plutôt de plugger un raspi pour SIMULER l'interaction humaine, a savoir presser la touche enter quand le browser crash. Stocker le cookie tu peux déjà le faire sur la ps4

Super news bon courage a tout ceux qui bossent sur cette faille, sa semble prometteur vos truc !

Airza

12 décembre 2020, 03:59

https://twitter.com/...170261515317251sleirsgoevy semble s'y intéressé En ce qui concerne le nouvel exploit divulgué à BHEU: est-ce que quelqu'un pourrait exécuter ceci ( https: // pastebin.com/BjrB7F2D ) ou un code équivalent sur un firmware 5.05 / autre non-6.XX et m'envoyer les journaux? Le modèle est évident, mais j'aimerais savoir à quelles différences s'attendre et à quoi faire pour utiliser la force brute.

Ok sympa.
Au début je croyais que c'était toi Tralala qui voulait un test mais en fait c'est sleirsgoevy.
J'ai failli te l'envoyer.

B i o r n

13 décembre 2020, 06:03

Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware
Tous les firmwares sont déjà tombés, d'ex hackers qui furent connus et ont quitté la scène, ont déjà toutes les entrées, qui ne sont pas corrigées par Sony car pas publiée, à l'exception d'une, le syscon. (Mais ça bosse).
Je ne peux malheureusement pas en dire plus, si ce n'est que Zecoxao (le seul à s'afficher publiquement) ne bosse pas seul pour péter ce contrôleur, et qu'il a de grosses pointures avec lui.
Soyez patient, car si le syscon saute, la PS5 pourrait probablement être mise à mal aussi.

Et blablabla pourquoi tu donnes de la m a manger aux gens?!

Je sais même pas ce que tu entends par "le syscon saute" car ça fait belle lurette qu'on a le code source de celui-ci et les clés pour le déchiffrer.

Donc soit t'explique les choses, soit tu passes pour le guignol de service.

PS: et j'attend ton petit writeup sur le schéma de sécurité de la PS5. Je le lirai avec attention.

B i o r n

13 décembre 2020, 06:07

Merci @tralala pour la news.

Leur exploit est tout de même basé sur une faille javascrypt dévoilée en 2016 si j'ai tout suivi.

Je pense que les failles webkit ont encores de belles années devant elle à se rythme là.

Cliquer ici pour continuer sur le forum