Aller au contenu


Photo

[PS4] L'exploit webkit 0-day montré à la BlackHat


  • Veuillez vous connecter pour répondre
17 réponses à ce sujet

Posté 10 décembre 2020 - 16:34

#1
tralala

tralala

    \0/ Postman \0/

  • Newser Expert
  • 12 968 messages
  • Sexe:Male
Les développeurs Mehdi Talbi et Quentin Meffre viennent de dévoiler leur faille du webkit sous le firmware 6.xx sur une PS4 lors d'une conférence à la BlackHat qui s'est tenue durant les 3 derniers jours, et qui ferme ses portes ce soir. 
 
 
 
 
Ces deux développeurs ( 0xdagger et abu_y0ussef) ont expliqué comment ils ont réussi à trouver une faille WebKit 0-day sur le firmware 6.xx, rappelant que le navigateur webkit est généralement exposé comme un point d'entrée d'une attaque complète du kernel, affirmant que le bug qu'ils ont trouvé fournit des primitives d'exploitation limitées, mais ils mettent aussi en avant qu'il a pu être trouvé grâce à des faiblesses sécuritaires dans le mécanisme ASLR. 
 
 
 
 
 
 
 
 
Le bug utilisé est présent dans le moteur DOM du navigateur, plus précisément  il est présent dans le call WebCore::ValidationMessage::buildBubbleTree. Les développeurs WebKit ont identifié que des problèmes peuvent survenir lors de la mise à jour du style ou de la mise en page.
 
En fait, pour parler simplement, les deux développeurs ont analysé le code et la correction du bug, et ensuite ont tenté de débuguer le bug pour rendre un objet vulnérable. 
 
L'exploit a été publié ici : PS4-webkit-exploit-6.XX
 
 
 
 
 
Le portage sur un firmware 7.xx ? 
 
Ils ont réussi à exploiter notre bug sur le firmware 6.xx grâce au manque de sécurité sur l'ASLR qui a permis de prédire l'adresse des objets HTML. L'adresse prévisible est codée en dur dans l'exploit et a été identifiée grâce à l'exploit "bad-hoist". Cependant, sans connaissance préalable sur le mappage de la mémoire, la seule façon de déterminer l'adresse de nos objets HTMLElement pulvérisés est de forcer cette adresse.
 
Pour pouvoir continuer leur recherche, il faudra utiliser la force brute mais l'utilisation de celle-ci sur PS4 est fastidieuse car elle demande une interaction avec l'utilisateur, car le navigateur crashe toutes les 5 secondes, l'idée est pouvoir utiliser à terme un Raspberry Pi pour stocker l'adressage multiple de la force brute dans un cookie et ainsi progresser sur un éventuel hack du 7.xx. 
 
 
Tout est là  : synacktiv.com
 

  • Retour en haut

Posté 10 décembre 2020 - 16:51

#2
aboubacar

aboubacar

    Sunriseur

  • Members
  • PipPip
  • 44 messages
Wahou sa va prendre plus de temps que prévu mais la patience est la clé de la réussite
  • Retour en haut

Posté 10 décembre 2020 - 18:32

#3
overload

overload

    Sunriseur PRIVILEGE

  • Members
  • PipPipPipPipPip
  • 2 066 messages
les recherche a base de brute force c'est quitte ou double ,15 jours comme 15 ans , bref au final je ne comprends pas bien toute les déclarations annonçant une faille webkit 7.02 , je crois que les gens se sont emballer trop vite , ou alors j'ai raté un truc

"Si ça saigne ça peut crever"

  • Retour en haut

Posté 10 décembre 2020 - 19:19

#4
darkstorm

darkstorm

    Sunriseur avancé

  • Members
  • PipPipPip
  • 702 messages
  • Sexe:Male

les recherche a base de brute force c'est quitte ou double ,15 jours comme 15 ans , bref au final je ne comprends pas bien toute les déclarations annonçant une faille webkit 7.02 , je crois que les gens se sont emballer trop vite , ou alors j'ai raté un truc


je confirme, ça s'emballe un peu trop vite ..
  • Retour en haut

Posté 10 décembre 2020 - 19:22

#5
darkstorm

darkstorm

    Sunriseur avancé

  • Members
  • PipPipPip
  • 702 messages
  • Sexe:Male
"l'idée est pouvoir utiliser à terme un Raspberry Pi pour stocker l'adressage multiple de la force brute dans un cookie et ainsi progresser sur un éventuel hack du 7.xx. "

l'idée c'est plutôt de plugger un raspi pour SIMULER l'interaction humaine, a savoir presser la touche enter quand le browser crash. Stocker le cookie tu peux déjà le faire sur la ps4
  • Retour en haut

Posté 10 décembre 2020 - 20:28

#6
iPreDaTeuR--

iPreDaTeuR--

    Sunriseur

  • Members
  • PipPip
  • 33 messages
  • Sexe:Male

Peut être il y a un moyen de predire plus précisement dans quel zone d'adresse mémoire ça sera ...

Par contre si c'est un 0day je comprend pas pourquoi il essaye pas directement sur le dernier fw 8.03 ?

 

Ou sur le webkit de la PS5 ?


Modifié par iPreDaTeuR--, 10 décembre 2020 - 20:32.

?

  • Retour en haut

Posté 10 décembre 2020 - 20:37

#7
Løtus51

Løtus51

    Sunriseur

  • Members
  • PipPip
  • 92 messages
  • Sexe:Male
  • Lieu:57800

Peut être il y a un moyen de predire plus précisement dans quel zone d'adresse mémoire ça sera ...
Par contre si c'est un 0day je comprend pas pourquoi il essaye pas directement sur le dernier fw 8.03 ?
 
Ou sur le webkit de la PS5 ?

Pour pouvoir l'utiliser sur un Kernel exploit connu ?
  • Retour en haut

Posté 10 décembre 2020 - 20:55

#8
hackever

hackever

    Sunriseur

  • Members
  • PipPip
  • 114 messages
bein pour pas avoir de procés au cul, jpense
hack for ever
  • Retour en haut

Posté 10 décembre 2020 - 20:59

#9
Linkynimes

Linkynimes

    Sunriseur PRIVILEGE

  • Members
  • PipPipPipPipPip
  • 3 739 messages
  • Sexe:Female
Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware
  • Retour en haut

Posté 10 décembre 2020 - 21:44

#10
iPreDaTeuR--

iPreDaTeuR--

    Sunriseur

  • Members
  • PipPip
  • 33 messages
  • Sexe:Male

Peut être il y a un moyen de predire plus précisement dans quel zone d'adresse mémoire ça sera ...
Par contre si c'est un 0day je comprend pas pourquoi il essaye pas directement sur le dernier fw 8.03 ?
 
Ou sur le webkit de la PS5 ?

Pour pouvoir l'utiliser sur un Kernel exploit connu ?



Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware


Il faut vous rappeler que les actuels exploit complet ont été permis apres qu'un kernel exploit soit releasé des mois apres que des webkit exploit était dispo?

Il est evident qu'il irais pas plus loin pour l'instant qu'un exploit webkit mais ils peuvent déjà se positionner comme étant les auteurs d'un exploit webkit sur PS4 8.03 et PS5 2.30...

?

  • Retour en haut

Posté 11 décembre 2020 - 02:44

#11
tikilou

tikilou

    Sunriseur avancé

  • Technicien
  • 513 messages

Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware

Tous les firmwares sont déjà tombés, d'ex hackers qui furent connus et ont quitté la scène, ont déjà toutes les entrées, qui ne sont pas corrigées par Sony car pas publiée, à l'exception d'une, le syscon. (Mais ça bosse).
Je ne peux malheureusement pas en dire plus, si ce n'est que Zecoxao (le seul à s'afficher publiquement) ne bosse pas seul pour péter ce contrôleur, et qu'il a de grosses pointures avec lui. ;)

Soyez patient, car si le syscon saute, la PS5 pourrait probablement être mise à mal aussi.


Modifié par tikilou, 11 décembre 2020 - 02:49.

  • Retour en haut

Posté 11 décembre 2020 - 07:37

#12
overload

overload

    Sunriseur PRIVILEGE

  • Members
  • PipPipPipPipPip
  • 2 066 messages

Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware

Tous les firmwares sont déjà tombés, d'ex hackers qui furent connus et ont quitté la scène, ont déjà toutes les entrées, qui ne sont pas corrigées par Sony car pas publiée, à l'exception d'une, le syscon. (Mais ça bosse).
Je ne peux malheureusement pas en dire plus, si ce n'est que Zecoxao (le seul à s'afficher publiquement) ne bosse pas seul pour péter ce contrôleur, et qu'il a de grosses pointures avec lui. ;)
Soyez patient, car si le syscon saute, la PS5 pourrait probablement être mise à mal aussi.


J'ai du mal à croire que le syscon PS4 ai des points commun avec celui de la PS5 bizarre comme déclaration , bref si tu le dit...

"Si ça saigne ça peut crever"

  • Retour en haut

Posté 11 décembre 2020 - 11:02

#13
tikilou

tikilou

    Sunriseur avancé

  • Technicien
  • 513 messages

J'ai du mal à croire que le syscon PS4 ai des points commun avec celui de la PS5 bizarre comme déclaration , bref si tu le dit...

Sony utilise le syscon depuis la Vita et l'a réimplémenté dans la PS4, et la PS5 serait relativement proche de cette dernière (une évolution, pas une refonte complète de l'architecture)
 

Chaque fois que l'ingénieurerie d'une console est désossée, ça peut aider pour la suivante ou à côté, si le fabricant n'a pas corrigé l'approche pour s'adapter entre temps.


Modifié par tikilou, 11 décembre 2020 - 11:05.

  • Retour en haut

Posté 11 décembre 2020 - 11:54

#14
tralala

tralala

    \0/ Postman \0/

  • Newser Expert
  • 12 968 messages
  • Sexe:Male

https://twitter.com/...170261515317251

sleirsgoevy semble s'y intéressé ;)
 

En ce qui concerne le nouvel exploit divulgué à BHEU: est-ce que quelqu'un pourrait exécuter ceci ( https: // pastebin.com/BjrB7F2D ) ou un code équivalent sur un firmware 5.05 / autre non-6.XX et m'envoyer les journaux? Le modèle est évident, mais j'aimerais savoir à quelles différences s'attendre et à quoi faire pour utiliser la force brute.


  • Retour en haut

Posté 11 décembre 2020 - 16:29

#15
acdeco

acdeco

    Sunriseur avancé

  • Members
  • PipPipPip
  • 405 messages
  • Sexe:Male
  • Lieu:France (18)
  • Passions:cinema, jeux video

"l'idée est pouvoir utiliser à terme un Raspberry Pi pour stocker l'adressage multiple de la force brute dans un cookie et ainsi progresser sur un éventuel hack du 7.xx. "

l'idée c'est plutôt de plugger un raspi pour SIMULER l'interaction humaine, a savoir presser la touche enter quand le browser crash. Stocker le cookie tu peux déjà le faire sur la ps4

Super news bon courage a tout ceux qui bossent sur cette faille, sa semble prometteur vos truc !
  • Retour en haut

Posté 12 décembre 2020 - 03:59

#16
Airza

Airza

    Sunriseur

  • Members
  • PipPip
  • 265 messages

https://twitter.com/...170261515317251sleirsgoevy semble s'y intéressé ;) En ce qui concerne le nouvel exploit divulgué à BHEU: est-ce que quelqu'un pourrait exécuter ceci ( https: // pastebin.com/BjrB7F2D ) ou un code équivalent sur un firmware 5.05 / autre non-6.XX et m'envoyer les journaux? Le modèle est évident, mais j'aimerais savoir à quelles différences s'attendre et à quoi faire pour utiliser la force brute.

Ok sympa.
Au début je croyais que c'était toi Tralala qui voulait un test mais en fait c'est sleirsgoevy.
J'ai failli te l'envoyer. :)
  • Retour en haut

Posté 13 décembre 2020 - 06:03

#17
B i o r n

B i o r n

    Sunriseur

  • Members
  • PipPip
  • 86 messages
  • Sexe:Male
  • Passions:<script type="text/javascript">alert('Badaboum')</script>

Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware

Tous les firmwares sont déjà tombés, d'ex hackers qui furent connus et ont quitté la scène, ont déjà toutes les entrées, qui ne sont pas corrigées par Sony car pas publiée, à l'exception d'une, le syscon. (Mais ça bosse).
Je ne peux malheureusement pas en dire plus, si ce n'est que Zecoxao (le seul à s'afficher publiquement) ne bosse pas seul pour péter ce contrôleur, et qu'il a de grosses pointures avec lui. ;)
Soyez patient, car si le syscon saute, la PS5 pourrait probablement être mise à mal aussi.

Et blablabla pourquoi tu donnes de la m a manger aux gens?!

Je sais même pas ce que tu entends par "le syscon saute" car ça fait belle lurette qu'on a le code source de celui-ci et les clés pour le déchiffrer.

Donc soit t'explique les choses, soit tu passes pour le guignol de service.

PS: et j'attend ton petit writeup sur le schéma de sécurité de la PS5. Je le lirai avec attention.

Modifié par B i o r n, 13 décembre 2020 - 06:05.

  • Retour en haut

Posté 13 décembre 2020 - 06:07

#18
B i o r n

B i o r n

    Sunriseur

  • Members
  • PipPip
  • 86 messages
  • Sexe:Male
  • Passions:<script type="text/javascript">alert('Badaboum')</script>
Merci @tralala pour la news.

Leur exploit est tout de même basé sur une faille javascrypt dévoilée en 2016 si j'ai tout suivi.

Je pense que les failles webkit ont encores de belles années devant elle à se rythme là.

Modifié par B i o r n, 13 décembre 2020 - 06:15.

  • Retour en haut




0 utilisateur(s) li(sen)t ce sujet

0 invité(s) et 0 utilisateur(s) anonyme(s)