Это для Pwners: использование WebKit 0-day в PlayStation 4

Квентин Меффре | Исследователь Безопасности, Synacktiv
Мехди Талби | Исследователь Безопасности, Synacktiv
Формат: 40-Минутные Брифинги
Треки: Разработка Эксплойтов, Безопасность Облака И Платформы

Несмотря на активное сообщество взломщиков консолей, было выпущено лишь несколько публичных эксплойтов PlayStation 4. Открытый браузер на основе WebKit обычно является точкой входа в полно цепочечную атаку: от эксплуатации браузера до эксплуатации ядра. Однако методы закалки браузеров вместе с полным отсутствием возможностей отладки делают очень трудным успешное использование ошибок в последних прошивках PS4. В этом докладе мы расскажем, как нам удалось отладить, а затем использовать 0-дневную уязвимость WebKit на 6.xx прошивки. Ошибка была сообщена нашими фуззерами и в настоящее время находится в процессе ответственного раскрытия.

Ошибка заключается в уязвимости Use-after-Free (UAF)в движке WebKit. Использование этой ошибки требует глубокого понимания основного распределителя кучи WebKit. Слушателям будут представлены ключевые понятия распределителя, а также примитивы, необходимые для массажа кучи.

В этом разговоре мы представим первопричину ошибки. Эта ошибка обеспечивает ограниченную эксплуатацию примитивов. Однако, благодаря слабости, которую мы выявили в механизме ASLR, мы смогли сделать эту ошибку пригодной для использования. В этой презентации мы сосредоточимся на стратегии эксплуатации, которую мы приняли, чтобы получить выполнение кода в контексте процесса браузера, и как мы превратили, в частности, Use-After-Free в R/W примитив, ведущий к выполнению кода. Мы завершим наш разговор, описав некоторые препятствия, с которыми мы столкнулись при попытке перенести эксплойт на последнюю прошивку PS4.