Aller au contenu


Photo

[PS3/PS4/PS5] Les vulnérabilités de TheFlow sur PS5 et PS4, et PS3


  • Veuillez vous connecter pour répondre
57 réponses à ce sujet

Posté 11 juin 2022 - 08:49

#1
tralala

tralala

    \0/ Postman \0/

  • Newser Expert
  • 12 456 messages
  • Sexe:Male
Nul besoin de vous rappeler que TheFlow a présenté hier soir ce qui est une partie de ses travaux sur la PS5 (et par ricochet sur la PS4, et même sur PS3). Le développeur de talent a en effet dévoilé pas moins de 5 vulnérabilités qui une fois enchaînées permettent à un utilisateur d'obtenir des capacités JIT, et ainsi l'exécution de payloads.
 
Le payload fourni déclenche alors un débordement de la mémoire tampon qui provoque alors un kernel panic. Chaque vulnérabilité présentée est à considérer comme individuelle et est décrite ci-dessous selon la console. Le tout a été dévoilé comme nous en informe TheFlow sur l'un de ces slides en parallèle sur Hackerone
 
 
 
 
[MOYEN] [PS4] [PS5] Vulnérabilité 1
 
Cette première vulnérabilité implique le remplacement d'un fichier par un objet qui va donner des autorisations et contourner le gestionnaire de sécurité.
 
[MOYEN][PS4] Vulnérabilité 2
 
La seconde vulnérabilité consiste à appeler une classe arbitraire, cela permet d'insister sur les classements avec un certains nombres de commandes sur le fonctionnement et d'appliquer des arguments uniques. 
 
[MOYEN] [PS4] [PS5] Vulnérabilité 3
 
Cette 3eme vulnérabilité provoque un contournement de la vérification des autorisations. Cela passe par une méthode qui passe par un attaquant de sous-classe d'une cible qui implémente une interface, TheFlow montre le code pour lancer l'attaquant et contourner les sécurités de l'objet. Cette vulnérabilité peut être utilisée pour divulguer la structure du système de fichiers ainsi que pour dumper des fichiers (par exemple à partir de /app0/).
 
[ÉLEVÉ][PS4] Vulnérabilité 4
 
Le "thread récepteur du compilateur" reçoit une structure de taille 0x58 octets du processus d'exécution :
 
Cette structure contient un pointeur à l'offset 0x38 (nous l'appelons compiler_data) du processus du compilateur qui est utilisé pour effectuer une sauvegarde de la structure de la requête. Un attaquant peut simplement envoyer un pointeur et le thread récepteur du compilateur copiera les données de la requête dans sa mémoire. En d'autres termes, nous avons une primitive d'écriture "write-what-where" . Un attaquant peut exploiter cette vulnérabilité en fournissant un pointeur vers la mémoire JIT et stocker le contenu à écrire dans la requête. Le compilateur écrira ces données dans la mémoire JIT et nous donnera donc la possibilité d'exécuter des payloads. 
 
Cela a de graves conséquences :
Un chargeur ELF peut être écrit pour charger et exécuter des jeux piratés .
L'exploitation du kernel devient possible car il n'y a pas de SMEP et on peut simplement passer à l'utilisateur avec un pointeur de fonction corrompu.
 
[ÉLEVÉ][PS4] [PS5] Vulnérabilité 5
 
Le pilote UDF https://github.com/williamdevries/UDF est utilisé sur la PS4 et la PS5 qui contient un débordement de mémoire buffer . Un attaquant peut rendre la taille inf_len supérieure à sector_size (l'hypothèse de l'allocation interne est que les données sont plus petites que la taille du secteur) et provoquer un débordement avec memcpy().
 
 
 
 
La preuve d'exécution de cette chaîne d'exploitation a été compilée par TheFlow sur un fichier ISO et placée sur un BD-JB gravé en UDF 2.5 qui regroupe les vulnérabilités de 1 à 4 donnant ainsi la possibilité d'exécuter les payloads. Une fois le Bluray inséré, il vous sera possible d'envoyer un payload en utilisant nc $PS4IP 1337 < payload.bin , le payload provoquera un kernel panic si vous impliquez la vulnérabilité 5, sur le firmware 9.00 de la PS4. 
 
 
 
Avec ces vulnérabilités, il est possible de lancer des jeux piratés sur des disques bluray . Cela est possible même sans un exploit du kernel car nous avons accès à des capacités JIT. Cependant TheFlow a précisé que "sans un kernel exploit, vous ne pourrez pas exécuter de jeux piratés (qui auraient fonctionné sur la PS4 uniquement de toute façon), car nous n'avons pas assez de RAM dans le processus bd-j et il y a quelques autres contraintes".
 
 
 
 
L'intention de TheFlow n'est pas de dévoiler comment parvenir aux debugs settings, il est d'ailleurs fort probable qu'ils disposent de ces accès avec d'autres failles, il insiste sur le fait que ces vulnérabilités liées aux bluray ont des avantages par rapport à un exploit webkit car elles fonctionnent sur la PS4 et la PS5, qu'elles sont fiables à 100%, qu'elles sont agnostique par rapport au firmware puisque l'exécution du code se fait sans ROP, que la surface d'attaque kernel est plus grande, que l'accès au JIT permet d'exécution des paylaods et qu'il ne reste plus qu'à écrire un exploit du kernel en C pour en bénéficier (uniquement sur PS4). 
 
 
 
 
Le travail de TheFlow une fois de plus est exceptionnel, laissons le temps faire son oeuvre, il a rajouté que sa présentation sera montrée en vidéo dans quelques jours, qu'il a utilisé un BD-RE Verbatim, et que pour la petite histoire cela ne fonctionne pas avec un DVD-RE. A noter que ces vulnérabilités ont été corrigées à partir du firmware 9.50 sur PS4 et 5.00 sur PS5
 
 
 
 

  • Retour en haut

Posté 11 juin 2022 - 08:54

#2
BlackBrain

BlackBrain

    Technicien Supérieur Support Informatique

  • Members
  • PipPipPipPipPip
  • 2 236 messages
  • Sexe:Male
  • Passions:Honda CB750 Hornet
Oh oui c'est clair que l'accès aux Debug Settings il l'a, donc il dispose forcément d'autres failles.

Enfin ne crachons pas dans la soupe, c'est déjà beau qu'il partage cela!
  • Retour en haut

Posté 11 juin 2022 - 08:57

#3
Ghost0159

Ghost0159

    Sunriseur avancé

  • Members
  • PipPipPip
  • 863 messages
  • Sexe:Male
Merci pour la news
Nice tout ça
  • Retour en haut

Posté 11 juin 2022 - 09:06

#4
Sendel

Sendel

    Sunriseur elite

  • Members
  • PipPipPipPip
  • 1 171 messages
  • Sexe:Male
C'est valable aussi pour la Ps3 visiblement.

bd-jb: Blu-ray Disc Java Sandbox Escape affecting PS3, PS4, PS5. My talk at
@hardwear_io
will be uploaded in a few weeks. #hardwear_io

https://twitter.com/...SWq_-Gqi-ovqc4w

Modifié par Sendel, 11 juin 2022 - 09:07.

  • Retour en haut

Posté 11 juin 2022 - 09:08

#5
tikilou

tikilou

    Sunriseur avancé

  • Technicien
  • 496 messages

En espérant que des choses soient concrètement publiées pour le commun des mortels. Je ne cracherais pas sur la possibilité de pouvoir lancer Linux sur une PS5 et m'en servir comme un PC, avec Steam & compagnie, lancer des émulateurs, des jeux PC, des tas de programmes, comme sur PS4.


Modifié par tikilou, 11 juin 2022 - 09:09.

  • Retour en haut

Posté 11 juin 2022 - 09:09

#6
tralala

tralala

    \0/ Postman \0/

  • Newser Expert
  • 12 456 messages
  • Sexe:Male
oui c'est aussi ce qu'il y a sur l'avant dernière image du slide. (pour la PS3).
  • Retour en haut

Posté 11 juin 2022 - 09:14

#7
perou64

perou64

    Sunriseur

  • Members
  • PipPip
  • 204 messages
Des membres éminent de gbatemp parlé hier deja de "freeblurayboot" bientôt en vente sur eBay.

Pendant que d'autres ne voyait pas le potentiel de la découverte ; des gens s'activent en coulisses.

Modifié par perou64, 11 juin 2022 - 09:15.

  • Retour en haut

Posté 11 juin 2022 - 09:25

#8
BlackBrain

BlackBrain

    Technicien Supérieur Support Informatique

  • Members
  • PipPipPipPipPip
  • 2 236 messages
  • Sexe:Male
  • Passions:Honda CB750 Hornet
XD les gars qui essaient vraiment de faire du business avec tout... Acheter le BluRay Boot si cela permettait ensuite d'utiliser les jeux sur DD aurait du sens pour ceux n'ayant pas de graveur BluRay.

Étant donné qu'il faudra aussi graver les jeux, il devient nécessaire d'investir dans un graveur BD. Tout un chacun peut donc graver lui-même le fameux disque de boot.

J'espère vraiment pour les utilisateurs qu'il y aura des personnes pour publier cela en OpenSource!

Modifié par BlackBrain, 11 juin 2022 - 09:25.

  • Retour en haut

Posté 11 juin 2022 - 09:25

#9
Linkynimes

Linkynimes

    Sunriseur PRIVILEGE

  • Members
  • PipPipPipPipPip
  • 3 633 messages
  • Sexe:Female
Le plus intéressent serais d'avoir des Bluray Goldhen
  • Retour en haut

Posté 11 juin 2022 - 09:54

#10
fredlabidouille

fredlabidouille

    Sunriseur avancé

  • Members
  • PipPipPip
  • 338 messages
  • Sexe:Male
Petite précision importante, Andy préconise sur Twitter des Blu-Ray réinscriptibles :
"I used a BD Burner and BD-RE discs from Verbatim. Do not buy BD-R discs as are only writable once."
Pourquoi ? Je ne sait pas... Si quelqu'un sait, je suis preneur de l'info.
  • Retour en haut

Posté 11 juin 2022 - 09:55

#11
nuinut

nuinut

    Sunriseur avancé

  • Members
  • PipPipPip
  • 771 messages
  • Sexe:Male
ça avance, c'est cool
  • Retour en haut

Posté 11 juin 2022 - 09:57

#12
Oxeres

Oxeres

    Sunriseur avancé

  • Members
  • PipPipPip
  • 657 messages
  • Sexe:Male
0_o Thefl0w est vraiment sur une autre planète !!
Je dis chapeau pour la technique mais perso je ferais l’impasse sur le hack PS5.
  • Retour en haut

Posté 11 juin 2022 - 10:19

#13
polo_cha2

polo_cha2

    PoloNX#9999

  • Members
  • PipPipPip
  • 903 messages
  • Sexe:Male
  • Passions:Je dev des homebrews de mon temps libre
Peut-être une possibilité d'avoir le debug settings sur ps5 :O

Bonjour moi c'est polo ! Alors pour commencer j'écris ce texte pour me présenter et pourquoi je suis sur ls. Donc si je suis sur ls c'est parce que j'aime le hack et tous ce qui tourne autours. Je suis aussi un programmer en herbe.

 

Et voici mes consoles hack :

 

 

NINTENDO

 

Nintendo switch bleu et rouge sous Atmosphère avec emunand car je suis ban en 15.1.0

New nintendo 3ds sous Luma 3ds (anciennement sous gateway) en dernière version

Nintendo WiiU sous Tiramisu en dernière versio aussi

 

 

PLAYSTATION

 

 

Playstation 3 sous cobra ode pucée

 

 

Consoles non hack

 

 

Nintendo switch rouge et bleu exclusive au online

 

 

 

Voilà ! Si j'ai pas hack beaucoup de console c'est normal c'est car je suis encore jeune ^^ (j'avais une wii avant mais je l'ai donné à un ami proche elle était sous wiiflow pour les curieux). J'espère avoir répondu à vos question

 

 

 

PS : Je suis dans la Team PoyoNX ^^

 

 

  • Retour en haut

Posté 11 juin 2022 - 10:21

#14
Soli

Soli

    Sunriseur

  • Members
  • PipPip
  • 40 messages
  • Sexe:Male
Personnellement, je ne serais pas étonné qu'il soit possible de lancer des fpkg voire même des pkg en ayant le Blu-Ray gravé avec les 5 vulnérabilités inséré dans la console... (sur PS4)

Il est incroyable Thefl0w, si je pouvais avoir ne serait-ce que le quart de ses compétences...

Modifié par Soli, 11 juin 2022 - 10:25.

  • Retour en haut

Posté 11 juin 2022 - 11:25

#15
fredlabidouille

fredlabidouille

    Sunriseur avancé

  • Members
  • PipPipPip
  • 338 messages
  • Sexe:Male
Curieux, sur hackerone il est noté "Attached is the exploit chain bd-jb as a .iso file" or je ne vois rien d'attaché... Peut-être faut-il un compte pour télécharger l'iso, non ? Le problème c'est que je ne suis ni un hacker ni une compagnie malheureusement ;-)

Modifié par fredlabidouille, 11 juin 2022 - 11:28.

  • Retour en haut

Posté 11 juin 2022 - 11:54

#16
markus95

markus95

    Sunriseur PRIVILEGE

  • Shining VIP
  • 4 800 messages
  • Sexe:Male
Donc c est bien ce que j avais compris hier soir...
La gravure des jeux sur ps5 c est mort car il faut un kex, ce qui n est pas nécessaire sur ps4...
  • Retour en haut

Posté 11 juin 2022 - 12:03

#17
Waikiki

Waikiki

    Sunriseur avancé

  • Modérateur
  • 983 messages
  • Sexe:Male
Je me demande combien de temps il faut à coder comme un passionné comme lui pour avoir son niveau. Ca fait rêver :) en tout cas ce mec est un génie rien à dire.
  • Retour en haut

Posté 11 juin 2022 - 12:32

#18
markus95

markus95

    Sunriseur PRIVILEGE

  • Shining VIP
  • 4 800 messages
  • Sexe:Male

Je me demande combien de temps il faut à coder comme un passionné comme lui pour avoir son niveau. Ca fait rêver :) en tout cas ce mec est un génie rien à dire.


De ce que j ai vu le gars a commencé à codé à 16 ans...
  • Retour en haut

Posté 11 juin 2022 - 13:28

#19
zsqd

zsqd

    Sunriseur

  • Members
  • PipPip
  • 10 messages
The flow vient de confirmer qu'apparemment il n'est pas possible de lancer des jeux gravés sur ps5 cela ne marche que sur PS4 d'après ce que j'ai compris sur son tweet.
https://twitter.com/...aVb1YCjmkw&s=19
  • Retour en haut

Posté 11 juin 2022 - 13:31

#20
zsqd

zsqd

    Sunriseur

  • Members
  • PipPip
  • 10 messages
Comment on dit je pense qu'il est urgent d'attendre et d'être patient, tant qu'on aura pas un exploit kernel (comme sur PS4) qui donne accès au débug setting ça sera mort sur ps5 !
  • Retour en haut




0 utilisateur(s) li(sen)t ce sujet

0 invité(s) et 0 utilisateur(s) anonyme(s)