Après mast1c0re puis Luac0re, de son côté le développeur matem6 dévoile UltraC0re, un nouveau projet de recherche particulièrement ambitieux destiné au classique PS2 Jak X: Combat Racing exécuté sur PlayStation 5 via l'émulateur officiel PS2.
UltraC0re est présenté comme un dérivé de Luac0re de Gezine, mais adapté au jeu Jak X (CUSA07842 / SCUS-97429). Le projet parvient à remonter toute la chaîne d'exploitation, depuis une simple sauvegarde modifiée jusqu'à l'exécution de code natif dans l'émulateur PS2 de la PS5.
Une faille de sauvegarde spécifique à Jak X
L'entrée de l'exploit repose sur une vulnérabilité découverte par CelesteBlue dans le système de sauvegarde du jeu. Un débordement du champ contenant le nom du profil permet de prendre le contrôle du processeur émulé PS2 (MIPS R5900), à la manière du premier étage de mast1c0re.
Une fois cette première étape franchie, UltraC0re ne cible plus le jeu lui-même mais l'émulateur PS2 intégré aux titres PS2 Classics.
Sortie de la sandbox PS2 et contrôle natif de l'émulateur
Le projet exploite ensuite une corruption mémoire au niveau des registres réseau DEV9/SMAP afin d'obtenir :
le contrôle du processus eboot.bin en x86-64 ;
des fuites d'adresses permettant de contourner l'ASLR ;
des primitives de lecture/écriture arbitraires ;
l'accès aux syscalls ;
la création de mémoire exécutable RWX via les fonctions sceKernelJit*.
UltraC0re transfère alors l'exécution vers la machine virtuelle Lua embarquée dans l'émulateur, où son framework prend le relais.
Exploitation du compilateur JIT (cr_caps 0x40)
L'une des nouveautés majeures d'UltraC0re est l'attaque du processus ps2-emu-compiler, plus privilégié que l'eboot principal.
Grâce à une vulnérabilité liée à la commande interne 0x215, le projet obtient l'exécution de code dans ce second processus, ce qui permet notamment :
la création de sockets réseau ;
le passage de descripteurs de fichiers entre processus ;
l'implantation d'un chargeur Lua distant accessible sur le port 8888.
L'utilisateur peut alors envoyer dynamiquement des scripts Lua sans avoir à recompiler l'ensemble de l'exploit.
Compatibilité potentielle avec d'autres jeux PS2 Classics
Contrairement à la vulnérabilité de sauvegarde qui est propre à Jak X, toute la seconde partie de l'exploit vise directement l'émulateur PS2 de Sony.
Comme cet émulateur est embarqué dans chaque package PS2 Classics et n'est pas lié au firmware de la console, d'autres jeux pourraient être compatibles après simple adaptation des offsets.
Le dépôt fournit d'ailleurs un script check_portable.py permettant d'analyser les dumps du processus ps2-emu-compiler et de déterminer si les mécanismes nécessaires sont présents.
Des payloads de jailbreak PS5 déjà testés
UltraC0re implémente également une couche de compatibilité avec les payloads Luac0re existants.
Le développeur indique avoir déjà testé poobs, lequel serait parvenu, lors de certaines exécutions réussies, à :
obtenir l'accès lecture/écriture au noyau ;
lancer un chargeur ELF directement sur la console ;
fournir un environnement Lua complet.
Ces résultats restent cependant expérimentaux, les exploits kernel demeurant fortement dépendants du firmware utilisé et de leur caractère probabiliste.
Une approche plus moderne que Luac0re
Là où Luac0re exploitait un ancien build d'émulateur présent dans un nombre limité de titres, UltraC0re cible une génération plus récente de l'émulateur PS2 utilisé par de nombreux PS2 Classics sur PS5.
Cette différence pourrait faciliter l'apparition de nouveaux ports vers d'autres jeux compatibles.
Fonctionnalités actuellement atteintes :
- Exploit de sauvegarde Jak X
- Exécution de code PS2 arbitraire
- Évasion de l'émulateur PS2
- Contrôle natif x86-64
- Lecture/écriture arbitraire
- Support Lua intégré
- Exécution dans le compilateur JIT privilégié
- Chargeur Lua distant sur le port 8888
- Compatibilité avec certains payloads Luac0re
- Premiers essais de jailbreak PS5 complets
Comme toujours, il s'agit avant tout d'un projet de recherche destiné aux développeurs et aux personnes intéressées par l'architecture interne de la PlayStation 5.
