17 réponses à ce sujet

[tralala]

Les développeurs Mehdi Talbi et Quentin Meffre viennent de dévoiler leur faille du webkit sous le firmware 6.xx sur une PS4 lors d'une conférence à la BlackHat qui s'est tenue durant les 3 derniers jours, et qui ferme ses portes ce soir. 

 

 

 

 

Ces deux développeurs ( 0xdagger et abu_y0ussef) ont expliqué comment ils ont réussi à trouver une faille WebKit 0-day sur le firmware 6.xx, rappelant que le navigateur webkit est généralement exposé comme un point d'entrée d'une attaque complète du kernel, affirmant que le bug qu'ils ont trouvé fournit des primitives d'exploitation limitées, mais ils mettent aussi en avant qu'il a pu être trouvé grâce à des faiblesses sécuritaires dans le mécanisme ASLR. 

 

 

 

 

 

 

 

 

Le bug utilisé est présent dans le moteur DOM du navigateur, plus précisément  il est présent dans le call WebCore::ValidationMessage::buildBubbleTree. Les développeurs WebKit ont identifié que des problèmes peuvent survenir lors de la mise à jour du style ou de la mise en page.

 

En fait, pour parler simplement, les deux développeurs ont analysé le code et la correction du bug, et ensuite ont tenté de débuguer le bug pour rendre un objet vulnérable. 

 

L'exploit a été publié ici : PS4-webkit-exploit-6.XX

 

 

 

 

 

Le portage sur un firmware 7.xx ? 

 

Ils ont réussi à exploiter notre bug sur le firmware 6.xx grâce au manque de sécurité sur l'ASLR qui a permis de prédire l'adresse des objets HTML. L'adresse prévisible est codée en dur dans l'exploit et a été identifiée grâce à l'exploit "bad-hoist". Cependant, sans connaissance préalable sur le mappage de la mémoire, la seule façon de déterminer l'adresse de nos objets HTMLElement pulvérisés est de forcer cette adresse.

 

Pour pouvoir continuer leur recherche, il faudra utiliser la force brute mais l'utilisation de celle-ci sur PS4 est fastidieuse car elle demande une interaction avec l'utilisateur, car le navigateur crashe toutes les 5 secondes, l'idée est pouvoir utiliser à terme un Raspberry Pi pour stocker l'adressage multiple de la force brute dans un cookie et ainsi progresser sur un éventuel hack du 7.xx. 

 

 

Tout est là  : synacktiv.com

 

[aboubacar]

Wahou sa va prendre plus de temps que prévu mais la patience est la clé de la réussite

[overload]

les recherche a base de brute force c'est quitte ou double ,15 jours comme 15 ans , bref au final je ne comprends pas bien toute les déclarations annonçant une faille webkit 7.02 , je crois que les gens se sont emballer trop vite , ou alors j'ai raté un truc

[darkstorm]

les recherche a base de brute force c'est quitte ou double ,15 jours comme 15 ans , bref au final je ne comprends pas bien toute les déclarations annonçant une faille webkit 7.02 , je crois que les gens se sont emballer trop vite , ou alors j'ai raté un truc

je confirme, ça s'emballe un peu trop vite ..

[darkstorm]

"l'idée est pouvoir utiliser à terme un Raspberry Pi pour stocker l'adressage multiple de la force brute dans un cookie et ainsi progresser sur un éventuel hack du 7.xx. "

l'idée c'est plutôt de plugger un raspi pour SIMULER l'interaction humaine, a savoir presser la touche enter quand le browser crash. Stocker le cookie tu peux déjà le faire sur la ps4

[iPreDaTeuR--]

Peut être il y a un moyen de predire plus précisement dans quel zone d'adresse mémoire ça sera ...

Par contre si c'est un 0day je comprend pas pourquoi il essaye pas directement sur le dernier fw 8.03 ?

 

Ou sur le webkit de la PS5 ?

Modifié par iPreDaTeuR--, 10 décembre 2020 - 20:32.

[Løtus51]

Peut être il y a un moyen de predire plus précisement dans quel zone d'adresse mémoire ça sera ...
Par contre si c'est un 0day je comprend pas pourquoi il essaye pas directement sur le dernier fw 8.03 ?
 
Ou sur le webkit de la PS5 ?

Pour pouvoir l'utiliser sur un Kernel exploit connu ?

[hackever]

bein pour pas avoir de procés au cul, jpense

[Linkynimes]

Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware

[iPreDaTeuR--]

Peut être il y a un moyen de predire plus précisement dans quel zone d'adresse mémoire ça sera ...
Par contre si c'est un 0day je comprend pas pourquoi il essaye pas directement sur le dernier fw 8.03 ?
 
Ou sur le webkit de la PS5 ?

Pour pouvoir l'utiliser sur un Kernel exploit connu ?

Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware

Il faut vous rappeler que les actuels exploit complet ont été permis apres qu'un kernel exploit soit releasé des mois apres que des webkit exploit était dispo?

Il est evident qu'il irais pas plus loin pour l'instant qu'un exploit webkit mais ils peuvent déjà se positionner comme étant les auteurs d'un exploit webkit sur PS4 8.03 et PS5 2.30...

[tikilou]

Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware

Tous les firmwares sont déjà tombés, d'ex hackers qui furent connus et ont quitté la scène, ont déjà toutes les entrées, qui ne sont pas corrigées par Sony car pas publiée, à l'exception d'une, le syscon. (Mais ça bosse).
Je ne peux malheureusement pas en dire plus, si ce n'est que Zecoxao (le seul à s'afficher publiquement) ne bosse pas seul pour péter ce contrôleur, et qu'il a de grosses pointures avec lui.

Soyez patient, car si le syscon saute, la PS5 pourrait probablement être mise à mal aussi.

Modifié par tikilou, 11 décembre 2020 - 02:49.

[overload]

Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware

Tous les firmwares sont déjà tombés, d'ex hackers qui furent connus et ont quitté la scène, ont déjà toutes les entrées, qui ne sont pas corrigées par Sony car pas publiée, à l'exception d'une, le syscon. (Mais ça bosse).
Je ne peux malheureusement pas en dire plus, si ce n'est que Zecoxao (le seul à s'afficher publiquement) ne bosse pas seul pour péter ce contrôleur, et qu'il a de grosses pointures avec lui.
Soyez patient, car si le syscon saute, la PS5 pourrait probablement être mise à mal aussi.

J'ai du mal à croire que le syscon PS4 ai des points commun avec celui de la PS5 bizarre comme déclaration , bref si tu le dit...

[tikilou]

J'ai du mal à croire que le syscon PS4 ai des points commun avec celui de la PS5 bizarre comme déclaration , bref si tu le dit...

Sony utilise le syscon depuis la Vita et l'a réimplémenté dans la PS4, et la PS5 serait relativement proche de cette dernière (une évolution, pas une refonte complète de l'architecture)
 

Chaque fois que l'ingénieurerie d'une console est désossée, ça peut aider pour la suivante ou à côté, si le fabricant n'a pas corrigé l'approche pour s'adapter entre temps.

Modifié par tikilou, 11 décembre 2020 - 11:05.

[tralala]

https://twitter.com/...170261515317251

sleirsgoevy semble s'y intéressé
 

En ce qui concerne le nouvel exploit divulgué à BHEU: est-ce que quelqu'un pourrait exécuter ceci ( https: // pastebin.com/BjrB7F2D ) ou un code équivalent sur un firmware 5.05 / autre non-6.XX et m'envoyer les journaux? Le modèle est évident, mais j'aimerais savoir à quelles différences s'attendre et à quoi faire pour utiliser la force brute.

[acdeco]

"l'idée est pouvoir utiliser à terme un Raspberry Pi pour stocker l'adressage multiple de la force brute dans un cookie et ainsi progresser sur un éventuel hack du 7.xx. "

l'idée c'est plutôt de plugger un raspi pour SIMULER l'interaction humaine, a savoir presser la touche enter quand le browser crash. Stocker le cookie tu peux déjà le faire sur la ps4

Super news bon courage a tout ceux qui bossent sur cette faille, sa semble prometteur vos truc !

[Airza]

https://twitter.com/...170261515317251sleirsgoevy semble s'y intéressé  En ce qui concerne le nouvel exploit divulgué à BHEU: est-ce que quelqu'un pourrait exécuter ceci ( https: // pastebin.com/BjrB7F2D ) ou un code équivalent sur un firmware 5.05 / autre non-6.XX et m'envoyer les journaux? Le modèle est évident, mais j'aimerais savoir à quelles différences s'attendre et à quoi faire pour utiliser la force brute.

Ok sympa.
Au début je croyais que c'était toi Tralala qui voulait un test mais en fait c'est sleirsgoevy.
J'ai failli te l'envoyer.

[B i o r n]

Y'a pas de kernel exploit en 8.X donc impossible de ce servir de ce webkit sur ce firmware

Tous les firmwares sont déjà tombés, d'ex hackers qui furent connus et ont quitté la scène, ont déjà toutes les entrées, qui ne sont pas corrigées par Sony car pas publiée, à l'exception d'une, le syscon. (Mais ça bosse).
Je ne peux malheureusement pas en dire plus, si ce n'est que Zecoxao (le seul à s'afficher publiquement) ne bosse pas seul pour péter ce contrôleur, et qu'il a de grosses pointures avec lui.
Soyez patient, car si le syscon saute, la PS5 pourrait probablement être mise à mal aussi.

Et blablabla pourquoi tu donnes de la m a manger aux gens?!

Je sais même pas ce que tu entends par "le syscon saute" car ça fait belle lurette qu'on a le code source de celui-ci et les clés pour le déchiffrer.

Donc soit t'explique les choses, soit tu passes pour le guignol de service.

PS: et j'attend ton petit writeup sur le schéma de sécurité de la PS5. Je le lirai avec attention.

Modifié par B i o r n, 13 décembre 2020 - 06:05.

[B i o r n]

Merci @tralala pour la news.

Leur exploit est tout de même basé sur une faille javascrypt dévoilée en 2016 si j'ai tout suivi.

Je pense que les failles webkit ont encores de belles années devant elle à se rythme là.

Modifié par B i o r n, 13 décembre 2020 - 06:15.