Zoals ieder jaar tussen kerst en nieuwjaar word momenteel het Chaos Communication Congress georganiseerd. Dit jaar kunnen hackers en ontwikkelaars voordrachten geven in Leipzig, waar verschillende van hen op het podium worden verwacht. Ook M0rph3us187 die zoals aangekondigd een presentatie heeft gegeven over het exploiteren van Video Applicaties op PlayStation 4.

Het gaat voor alle duidelijkheid om een methode die kwetsbaarheden in oudere versies van het webkit exploiteert dit kan doordat Video Applicaties zoals Netflix gebruik maken van een andere webkit versie dan die van de PlayStation 4 browser. Zo  kunnen oudere webkit exploits worden uitgevoerd, ongeacht het feit dat het exploit is gepatched in een firmware update van de console.

Hoewel de voordracht zeer interessant is betekend dit momenteel voor eindgebruikers bitter weinig. Dit komt mede door dat het openen van een Video Applicatie toegang tot het PlayStation Network vereist, waarvoor de meest recentste firmware update op de console moet zijn geïnstalleerd en deze de huidige vrijgegeven Kernel kwetsbaarheden niet meer kan uitbuiten.

Onderstaand vind u een naar het Nederlands vertaalde samenvatting van de voordracht geschreven door Roxanne op PSX-Place.com.

Introductie en kennismaking met M0rph3us1987

Hacker M0rph3us1987 omschrijft zichzelf aan het publiek als Software Engineer in Enterprise Resource Planning. Hij is altijd gefascineerd geweest door reverse engineering en Low-Level Coding Languages. Hij volgde de Scene en leerde al zeer snel dat er over het 1.76 Kernel Exploit. Daarom zocht en vond hij op Amazon een bundel die met die firmware (of lager) zou geleverd worden. Echter spatte zijn droom na ontvangst al snel uiteen als bleek dat de geleverde console niet de beloofde bundel was. Als gevolg draaide de console op firmware 3.15. 

Hij besloot hierdoor om dan maar zelf met de console aan de slag te gaan. Hij configureerde thuis een Network Packet, waarmee hij inzicht kreeg op iedere taak van de PlayStation 4, ongeacht of het het spelen van een game of het bekijken van een video was met behulp van tcpdump. Het analyseren deed hij met WireShark

Analyseren

Tijdens het analyseren van de Network Packets viel hem onmiddelijk op dat Video Applicaties zoals Netflix en Amazon Prime nog steeds gebruik maken van oudere versies van het AppleWebkit, ongeacht de firmware die geïnstalleerd was op zijn console. Hij had dus een nieuw entry-point ontdekt dat eventueel zou kunnen zijn.

Volgens hem zou het dus theoretisch mogelijk moeten zijn om het 1.76 Webkit Exploit (Niet het Kernel Exploit) toch nog te gebruiken. Daarom configureerde hij zijn eigen webserver met het 1.76 Webkit Exploit en via DNS aanpassingen leidde hij de applicaties daar naar toe. Het resultaat: het exploit was nog steeds bruikbaar. Daarboven op bleek dat de applicaties geen ASLR (Address Space Layout Randomization) gebruikten, waardoor het onderzoeken van deze piste nog eenvoudiger werd.

Hoe moet het nu verder?

Hoe moet het na het dumpen van het geheugen van een Video Applicatie nu verder? Het doel van de hacker was Code Execution te krijgen, maar omdat het oude webkit exploit alleen mag lezen en schrijven op een gelimiteerd geheugengebied (Memory Area) vormde dat een probleem. Om zijn eigen code te kunnen uitvoeren had hij toegang nodig tot de Control Flow van iedere applicatie. 

Hiervoor maakte hij gebruik van Virtual Method Tables (vtable), maar dan nog waren de mogelijkheden gelimiteerd. Hij moest deze deze dus op één of andere manier kunnen manipuleren. 

Het Master Plan

Het vervolg van de presentatie zou duidelijk moeten zijn aan de hand van de presentatie slides die gebruikt werden als leidraad. Navigeer in onderstaande afbeeldingen naar Der Masterplan.

Hulp nodig of een vraag voor ons team? Join onze Discord community: