Forums GAMERGEN

Le développeur TheFl0w, bien connu de la scène underground Sony, divulgue des détails sur 5 vulnérabilités. Nommées bd-jb Blu-ray Disc Java Sandbox Escape, elles permettent d'acquérir des capacités JIT et d'exécuter des payloads arbitraires.

La charge utile (Payload) déclenche un dépassement de la mémoire tampon qui provoque une panique du noyau (Kernel Panic). Il faut considérer chacune des vulnérabilités individuellement et prendre en compte qu’elles nécessitent l'insertion d'un BD-JB gravé en UDF 2.5. De ce fait, le modèle PS5 digital n’est pas concerné.

Les avantages de ce concept, par rapport à un exploit WebKit, sont la fiabilité et un plus grand champ d’attaque du Kernel (noyau). Sony a corrigé ces vulnérabilités dans les récents firmware pour la PS5 (5.00) et PS4 (9.50). Ces méthodes sont également susceptibles de fonctionner sur la PS3.

Les détails de l’ensemble des vulnérabilités présentées:

[+] CLIQUER POUR AFFICHER

• [MOYEN][PS4][PS5] Vulnérabilité 1
  
  Cette première vulnérabilité implique le remplacement d'un fichier par un objet qui va donner des autorisations et contourner le gestionnaire de sécurité.
• [MOYEN][PS4] Vulnérabilité 2
  
  La seconde vulnérabilité consiste à appeler une classe arbitraire. Cela permet d'insister sur les classements avec un certain nombre de commandes sur le fonctionnement et d'appliquer des arguments uniques.
• [MOYEN][PS4][PS5] Vulnérabilité 3
  
  Cette 3eme vulnérabilité provoque un contournement de la vérification des autorisations. Cela passe par une attaque de sous-classe d'une cible qui implémente une interface. TheFlow montre le code pour lancer l'attaquant et contourner les sécurités de l'objet. Cette vulnérabilité peut être utilisée pour divulguer la structure du système de fichiers ainsi que pour dumper des fichiers (par exemple à partir de /app0/).
• [ÉLEVÉ][PS4] Vulnérabilité 4
  
  Le "thread récepteur du compilateur" reçoit une structure de taille 0x58 octets du processus d'exécution :
  
  • Cette structure contient un pointeur à l'offset 0x38 (nous l'appelons compiler_data) du processus du compilateur qui est utilisé pour effectuer une sauvegarde de la structure de la requête. Un attaquant peut simplement envoyer un pointeur et le thread récepteur du compilateur copiera les données de la requête dans sa mémoire. En d'autres termes, nous avons une primitive d'écriture "write-what-where" . Un attaquant peut exploiter cette vulnérabilité en fournissant un pointeur vers la mémoire JIT et stocker le contenu à écrire dans la requête. Le compilateur écrira ces données dans la mémoire JIT et nous donnera donc la possibilité d'exécuter des payloads.
    
  • Cela a de graves conséquences :
    
    • Un chargeur ELF peut être écrit pour charger et exécuter des jeux piratés.
    • L'exploitation du kernel devient possible car il n'y a pas de SMEP et on peut simplement passer à l'utilisateur avec un pointeur de fonction corrompu.
• [ÉLEVÉ][PS4][PS5] Vulnérabilité 5
  
  Le pilote UDF https://github.com/williamdevries/UDF est utilisé sur la PS4 et la PS5 qui contient un débordement de mémoire buffer. Un attaquant peut rendre la taille inf_len supérieure à sector_size (l'hypothèse de l'allocation interne est que les données sont plus petites que la taille du secteur) et provoquer un débordement avec memcpy().

Pour davantage d’informations, vous pouvez consulter HackerOne où le développeur TheFl0w présente ses travaux.



Source: HackerOne et Twitter TheFl0w

Le guide:
https://gamergen.com/forums/underground ... 73609.html

Le développeur Sleirsgoevy propose l'implémentation des vulnérabilités dévoilées par TheFlow pour un exploit partiel BD-JB sur PS3/PS4.

Il s'agit d'un POC (preuve de concept) et permet le chargement de payload BIN en utilisant les vulnérabilités 2,3 et 4.

Source: https://github.com/sleirsgoevy/bd-jb
Lien: https://twitter.com/sleirsgoevy/status/ ... 8338970624

Le développeur BigBoss propose la réimplémentation BD-JB Prospero sur PS4.

Source: https://github.com/psxdev/bd-jb

Le développeur Sleirsgoevy propose un nouveau payload FTP à utiliser avec l'exploit BD-JB. Pour le moment, cela se limite au firmware 4.03 ! Le chargement des payloads se fait via le port 9019.

Lien: https://mega.nz/file/I4EHUJQT#gvbV8sizb ... PS4HMtQdeU

Le développeur Zecoxao propose un payload qui permet de controler la vitesse du ventilateur de la PS5.

Lien: https://www77.zippyshare.com/v/bAOXtIWz/file.html