[PS4] La Team fail0verflow parle d'une nouvelle méthode de dump jusqu'au 4.50

Playstation 3 / 4

Que se passe-t-il si un périphérique sécurisé a un format crashdump visible ? Et si ce même périphérique permettait de mettre de la mémoire arbitraire dans le crashdump ? Étonnamment, la PlayStation 4 prend en charge ces deux fonctionnalités, et c'est la Team fail0verflow qui nous en informe !

Deux parties, le crashdump et le lancement de code arbitraire dans la mémoire !

Crashdumps sur PS4

L'infrastructure de gestion dr crash dans le kernel ps4 est intéressante pour 2 raisons :

- C'est un code spécifique à la PS4 (susceptible d'être bogué)

- Si le crashdump peut être décodé, nous obtiendrons des informations très utiles pour trouver des bogues et créer des exploits fiables

Sur un système FreeBSD normal, une panique du kernel créera une sauvegarde en appelant kern_reboot avec l'indicateur RB_DUMP. Cela conduit alors à l'appel de doadump, qui va déverser une quantité plutôt minime d'informations sur l'image du kernel elle-même sur un périphérique de stockage.

Sur la PlayStation 4, le remplacement de doadump est mdbg_run_dump, qui peut être appelé dès la panique ou directement depuis trap_fatal. La quantité d'informations stockées dans la sauvegarde est gigantesque - l'état du kernel pour tous les objets process, thread et vm sont inclus, ainsi que des métadonnées sur les bibliothèques chargées.

D'autres changements évidents de la méthode FreeBSD à la vanille sont que le mdbg_run_dump code les données enregistrées dans la sauvegarde, champ par champ, et crypte en plus le tampon résultant avant de le stocker sur le disque.

Dumper n'importe quoi

La Team fail0verflow explique qu'il est possible d'utiliser sur une partie spéciale de mdbg_run_dump où sont gérés tous les threads du processus et essaie de vider l'état de pthread.

dumpstate est un tampon temporaire qui finira par arriver dans le crashdump. Pour résumer, sysdump__internal_call_readuser peut être configuré pour fonctionner comme un oracle accessible en lecture. Ceci est dû au fait que fsbase pointera vers l'espace d'adresse usermode de notre processus webkit.

Ainsi, même sans changer la valeur fsbase réelle, nous pouvons changer librement la valeur de tcb_thread, qui est stockée à fsbase + 0x10.

De plus, sysdump__internal_call_readuser lira heureusement à partir d'une adresse de kernel et placera le résultat dans la sauvegarde.

Nous pouvons maintenant placer n'importe quel emplacement du kernel dans le dump, mais nous devons encore le déchiffrer et le décoder...

En dehors de cela, il y a aussi le problème que nous pouvons seulement ajouter 0x10 octets par thread de cette manière ...

La Team explique après ce que sont le Crypto Crashdump, Crashdump Décodage et le Crashdump Automation en disant que les clés sont les mêmes depuis le firmware 1.01, et que la limité de 0x10 octets n'a qu'une limite de 600 threads ! 600 threads en même temps avant que le processus du navigateur ne se bloque, ou refuse de faire plus de threads.

Avec une telle capacité, l'automatisation des processus est simplifiée, il est alors possible avec une modification matérielle de la commutation d'alimentation de la ps4 au réseau et simuler l'entrée de la ps4 avec l'API gadget usb de Linux, d'aller lire les processus.

Ces problèmes sécuritaires liés aux clés ont été corrigés avec le firmware 4.50, la méthode de génération des clés crashdumps a été modifiée par une reconnaissance d'une clé asymétrique afin de déchiffrer le contenu du dump.

Le processus reste long, juste pour dumper via cette méthode il faut pas moins de 6 jours, cette analyse est une nouvelle fois très intéressante, peut être un moyen de faire une nouvelle fois progresser les recherches sur des firmwares plus récent que le 4.05 par exemple.

Tout est là : ps4-crashdump-dump

Mercredi 27 Décembre 2017, 19:39 par tralala

Source : fail0verflow.com

leboss974

27 décembre 2017, 19:52

cool merci tralala et aux devs...

ptij

27 décembre 2017, 19:56

Merci tralala !

Pilip75

27 décembre 2017, 20:02

Ah bah ça va commencer à ce débloquer !

Merci pour la news tralala !

leboss974

27 décembre 2017, 20:05

la course a la distribution des joujoux est lancé

crazycrazy

27 décembre 2017, 20:49

allez FOF ...faites plaisir aux autres !

TargetID

27 décembre 2017, 20:55

Et comme par hasard je suis en 4.50..... PUT*** !

jad67tony

27 décembre 2017, 21:33

Bon travail la Team Fail0verflow... mais 6 jours c'est encore a travailler ;)Bon courage ! le dechiffrage du contenu du dump est très intéressant cela dit... ou une petite MAJ de PS4_AC1D_Flash-Tool encore mieux ... Merci à cette Team la meilleure qu'il n'y ai jamais eu

tralala

27 décembre 2017, 21:58

+1 c'est clair ...

HoYoHoYo

27 décembre 2017, 22:10

Donc ce qui veut dire c'est que en 4.55 ça va être très compliqué

nephistos

27 décembre 2017, 23:22

Merci pour la news

Shadix

28 décembre 2017, 00:30

Firmware 4.50 - 4.55: Fully exploited in private

Ce qui veut dire que quelqu'un a quelque chose, mais on en parle pas mdrrrr

cedsaill

28 décembre 2017, 01:24

Firmware 4.50 - 4.55: Fully exploited in private

Ce qui veut dire que quelqu'un a quelque chose, mais on en parle pas mdrrrr

Ils ont jusqu en 5.01 mais oui en privé.
Et là en 5.01 c est plus risqué suremment par rapport a sony sur le dernier firmware je compte pas le 5.03 car pas obligatoire pour l instant

Statut de Jailbreak PS4

Firmware 1.76: Entièrement exploité en public

Firmware 3.55: Exploitation publique de WebKit

Firmware 4.05: Entièrement exploité en public

Firmware 4.07: Exploitation publique de WebKit

Firmware 4.50 - 4.55: Entièrement exploité en privé

Firmware 5.00 - 5.01:Entièrement exploité en privé

leboss974

28 décembre 2017, 04:34

il y a un truc que je comprend pas le firmware 4.07 il y a un exploit dessus et les firmwares comme 4.50 ou 5.00 sont exploité entierement..
Ce qui revient a dire que les 4.07 sont difficile a travaillé ? moi qui pensé que + qu'un firmware est recent et + il est compliqué a travaillé dessus pour le deverouiller....
je comprend plus rien moi lol

tralala

28 décembre 2017, 08:53

c'est parce que chaque firmware dispose de corrections spécifiques, en fait chaque firmware intègre ses propres corrections, et un exploit ne s'adapte pas à un firmware différent, il faut le porter.

Les derniers firmwares majeurs (4.50, 5.00) apportent des nouveautés, des options, de nouvelles versions de navigateurs donc de nouvelles failles, tandis que les firmwares qui suivent 4.55, 5.01, 5.03 viennent corrigés des failles.

Un firmware plus récent, qui apporte de nouvelles options, apporte aussi son lot de nouvelles failles, ce qui explique qu'un firmware plus récent peut être moins sécurisé.

C'est ce que qwertyoruiopz avait expliqué dans un tweet mais je ne le retrouve plus ^^ .

CelesteBlue

28 décembre 2017, 09:05

je rajouterai que les testkits/devkits ont moins de limitations sur les dumps :
ils peuvent dumper avec moins d'encryption, dumper plus (appellé FULL DUMP) et dumper à volonté (quand ils veulent, pas forcément quand un crash survient).

leboss974

28 décembre 2017, 09:30

je comprend un peu mieux
..bon ben il reste plus qu'a attendre ....moi qui est en 4.07 je peut rien faire....

acdeco

28 décembre 2017, 14:23

Firmware 4.50 - 4.55: Fully exploited in private

Ce qui veut dire que quelqu'un a quelque chose, mais on en parle pas mdrrrr

Ils ont jusqu en 5.01 mais oui en privé.
Et là en 5.01 c est plus risqué suremment par rapport a sony sur le dernier firmware je compte pas le 5.03 car pas obligatoire pour l instant

Statut de Jailbreak PS4

Firmware 1.76: Entièrement exploité en public

Firmware 3.55: Exploitation publique de WebKit

Firmware 4.05: Entièrement exploité en public

Firmware 4.07: Exploitation publique de WebKit

Firmware 4.50 - 4.55: Entièrement exploité en privé

Firmware 5.00 - 5.01:Entièrement exploité en privé

Merci pour ces information c'est plus clair avec un tableau comme celui-ci, moi je suis resté encore en dessous du 4.05 je suis en 3.55 mais visiblement il y a pas encore tout en public sur mon firmware est ce que le hack public 4.05 sera rétrocompatible prochainement ?

Gagny-Tech

28 décembre 2017, 14:43

merci, l'année 2018 sera la bonne =)

CelesteBlue

29 décembre 2017, 11:09

Firmware 4.50 - 4.55: Fully exploited in private

Ce qui veut dire que quelqu'un a quelque chose, mais on en parle pas mdrrrr

Ils ont jusqu en 5.01 mais oui en privé.
Et là en 5.01 c est plus risqué suremment par rapport a sony sur le dernier firmware je compte pas le 5.03 car pas obligatoire pour l instant

Statut de Jailbreak PS4

Firmware 1.76: Entièrement exploité en public

Firmware 3.55: Exploitation publique de WebKit

Firmware 4.05: Entièrement exploité en public

Firmware 4.07: Exploitation publique de WebKit

Firmware 4.50 - 4.55: Entièrement exploité en privé

Firmware 5.00 - 5.01:Entièrement exploité en privé

Merci pour ces information c'est plus clair avec un tableau comme celui-ci, moi je suis resté encore en dessous du 4.05 je suis en 3.55 mais visiblement il y a pas encore tout en public sur mon firmware est ce que le hack public 4.05 sera rétrocompatible prochainement ?

je pense que pas mal de devs sont intéressé par les FWs compris entre 1.76 et 4.05 pour dumper le kernel notamment.

leboss974

29 décembre 2017, 13:20

donc ce qui veut dire les + haut que 4.05 sont tous des condamnées a mort ?

Sansors

29 décembre 2017, 13:38

Seul l'avenir nous le dira.

leboss974

29 décembre 2017, 18:32

et l'avenir et plutôt bonne ou pas ? mdrr

markus95

30 décembre 2017, 15:46

donc ce qui veut dire les + haut que 4.05 sont tous des condamnées a mort ?

L exploit kernel existe en 4.50/4.55 et 5.00/5.01 ils seront bien publié un jour...
À toi de voir si tu es patient ou pas...

Le kexploit 4.05 ça fait 1 an et demi qu on l attendait...

et l'avenir et plutôt bonne ou pas ? mdrr

Pour moi Oui, au moins on sait qu il existe encore des kexploits, c est pas comme si y avait plus rien au dessous de 4.05...
Maintenant quand aura lieu la publication, seul le temps nous le dira...

Cliquer ici pour continuer sur le forum