Home News Rilasciato nereba, il warmboot bootrom exploit per il firmware 1.0.0 della...

[Scena Switch] Rilasciato nereba, il warmboot bootrom exploit per il firmware 1.0.0 della Switch

378
0

Chi possiede una delle prime console Switch montanti ancora il firmware 1.0.0 (rilasciato in data 3 marzo 2017) potrà utilizzare questo nuovo (e datato) exploit pubblicato oggi dal developer pixel-stuck.

Sappiamo come nello stesso giorno Nintendo abbia rilasciato pubblicamente il firmware 2.0.0, ma per questo non dovrebbero esserci problemi, in quanto lo sviluppatore ha promesso di portarlo al più presto sul firmware 2.0.0 e 3.0.0.

Il nome nereba deriva da una coniugazione del verbo giapponese neru, “dormire”, che significa approssimativamente “se dormo, poi …”. Questo nome è stato suggerito da un amico ed è in parte destinato a prendere in giro il Custom Firmware Atmosphère che utilizza invece nomi francesi.

Questo nuovo exploit potrebbe aprire le porte ad una modifica libera dai fastidiosi dongle, da connessioni USB o dall’utilizzo di jig. Si potranno iniettare payload Fusée Gelée direttamente dalla scheda SD.

Funzionamento

Il nucleo di questo exploit non sfrutta una vulnerabilità del sistema operativo Horizon, ma una vulnerabilità scovata all’interno del bootrom di Tegra X1.

Durante il normale funzionamento, quando la Switch entra in modalità sleep, il processore principale arresta tutti i processi, tranne alcuni componenti essenziali di se stesso.

Il sistema operativo memorizza alcuni stati nella memoria RAM, che viene cosi mantenuta. Al risveglio, esegue nuovamente il bootrom e utilizza lo stato memorizzato nella memoria RAM e in una delle regioni mantenute all’interno del processore principale.

Il bootrom utilizza uno speciale codepath chiamato warmboot path, basato sulla presenza di determinati dati (che possono anche essere simulati su di un riavvio) e consente alla console di riattivarsi dalla modalità sleep.

Una delle attività di wakeup è di mettere la memoria RAM pronta per l’uso, dato che è stata messa in una modalità speciale prima di entrare in modalità sleep.

Ci sono un set di parametri usati per configurare la memoria RAM che vengono poi utilizzati durante l’avvio e il wakeup. Il bootrom presuppone che questi parametri non cambino, poiché sono firmati durante un “coldboot” (power on reset), ma Nvidia ha dimenticato di verificarli durante il warmboot.

Ciò significa che possono essere modificati e quindi il bootrom li userà per eseguire scritture arbitrarie. Possiamo usare queste scritture per prendere il controllo del bootrom utilizzando il sistema integrato ipatch.

L’exploit sul firmware 1.0.0 è stato semplice, poiché la regione in cui vengono memorizzati i parametri della RAM sono facilmente accessibili con l’exploit nspwn.

Questo pero è cambiato nelle versioni successive del firmware; l’utilizzo di questo nuovo exploit su versioni del firmware superiori alla 1.0.0 richiede un lavoro più complesso per ottenere gli stessi risultati.

Installazione

Per poter eseguire l’exploit dovrete utilizzare PegaSwitch su nspwn, questo significa che non dovrete utilizzare nemmeno il jig o un dongle per attivarlo.

  • Estrarre l’archivio .zip all’interno della scheda SD e utilizzare lo script pegaswitch nspwn per reindirizzare l’applet all’album.
  • Premere il pulsante Home e avviare l’applet album per eseguirlo.

[stextbox id=’info’]Nota: Prima di avviare l’applet album assicuratevi che il payload RCM nereba.bin si trovi effettivamente all’interno della cartella /nereba sulla scheda SD. [/stextbox]

Download: Warmboot bootrom exploit nereba v0.1

Download: Source code warmboot bootrom exploit nereba v0.1

Fonte: Github.com