Home News Disponibile safecerthax, un nuovo exploit del kernel ARM9 per console Old3DS

[Scena 3DS] Disponibile safecerthax, un nuovo exploit del kernel ARM9 per console Old3DS

Di
Francesco Lanzillotta
-
508
0

Si moltiplicano gli exploit per la console portatile 3DS, in ordine cronologico oggi troviamo safecerthax, l’exploit del kernel ARM9 sviluppato dal developer Nba_Yoh.

Safecerthax è un exploit del kernel ARM9 e ARM11 remoto per il firmware della modalità di ripristino originale della console portatile 3DS (Old3DS) (SAFE_FIRM).

Safecerthax si basa su SSLoth, un exploit che permette di bypassare la verifica del certificato SSL/TLS per il modulo di sistema SSL del 3DS. Sebbene SSLoth sia stato patchato su NATIVE_FIRM con l’aggiornamento del firmware 11.14, è ancora sfruttabile su SAFE_FIRM.

Esecuzione diretta del codice del kernel ARM9 remoto

Safecerthax utilizza SSLoth per falsificare i server NUS ufficiali che gestiscono gli aggiornamenti del firmware. Il server NUS personalizzato simula la necessità di installare un nuovo titolo per un aggiornamento di sistema.

Quando si installa un nuovo titolo, il programma di aggiornamento del sistema richiede ai server NUS la catena di certificati del titolo. Questi certificati vengono passati a Process9 (ARM9) con il comando PXIAM:ImportCertificates.

Tuttavia, prima della versione del firmware 5.0.0 (NATIVE_FIRM), il comando PXIAM:ImportCertificates era vulnerabile a un overflow del buffer di heap che rendeva possibile ottenere l’esecuzione del codice del kernel ARM9.

Questo difetto è stato corretto su NATIVE_FIRM e N3DS/N2DS SAFE_FIRM ma la correzione non è mai stata trasferita a O3DS/2DS SAFE_FIRM. Con il server NUS personalizzato, attiviamo questa vulnerabilità e otteniamo l’esecuzione del codice kernel ARM9 remoto su O3DS/2DS SAFE_FIRM.

Acquisizione del kernel ARM9 -> ARM11

Il difetto precedente ci dà l’esecuzione del codice del kernel ARM9. Tuttavia, dobbiamo ancora rilevare il kernel ARM11 dal lato ARM9.

Il codice Process9 responsabile delle comunicazioni PXI era noto per non controllare la dimensione dei comandi in entrata prima della versione firmware 5.0.0 (NATIVE_FIRM).

In realtà, il modulo di sistema ARM11 PXI soffriva dello stesso difetto. Sebbene il difetto ARM11 sia inutile nelle classiche catene ARM11 -> ARM9, è particolarmente utile quando è necessario eseguire un’acquisizione ARM9 -> ARM11.

Il buffer per il comando PXIMC:Shutdown si trova nello stack del modulo di sistema ARM11 PXI. Pertanto, possiamo attivare un overflow del buffer di stack inviando una risposta sufficientemente grande dal lato ARM9. Questo è sufficiente per ottenere l’esecuzione userland ROPchain ARM11 nel modulo di sistema PXI.

Una volta ottenuta l’esecuzione della catena ROPchain userland sul lato ARM11, possiamo quindi saltare alle pagine di codice mappate con tutte le autorizzazioni dal lato ARM9 (modificando le tabelle L1). Ciò fornisce l’esecuzione del codice del kernel ARM11.

Guida

[stextbox id=’alert’]Attenzione: L’exploit safecerthax funziona solo con la console O3DS/2DS, non funziona su N3DS e N2DS.[/stextbox]

Sezione I: Introduzione

  1. Scaricare l’ultimo archivio di SafeB9SInstaller.
  2. Estrarre il contenuto e copiare il file SafeB9SInstaller.bin nella directory principale della scheda SD.

Sezione II: Configurazione del 3DS

Da lì, ci sono due modi diversi per utilizzare safecerthax:

  • Utilizzare i server DNS e NUS di safecerthax pubblici.
  • Configurare il server proxy safecerthax (più tecnico).

Opzione I: Utilizzo dei server DNS e NUS pubblici

[stextbox id=’warning’]Attenzione: Safecerthax utilizza un exploit nel modulo di sistema 3DS SSL per bypassare le verifiche dei certificati SSL/TLS. Significa che non sei al sicuro quando utilizzi server proxy o DNS personalizzati. Pertanto, consiglio vivamente di non utilizzare alcun proxy o server DNS diverso da quelli forniti qui. Inoltre, dovresti smettere di utilizzare i server safecerthax una volta terminato di usare l’exploit. Non sono responsabile di alcun problema causato dall’utilizzo di potenziali server di terze parti non affidabili.[/stextbox]

  1. Accendere la console 3DS e avviare l’applicazione Impostazioni di sistema.
  2. Navigare su Internet -> Impostazioni di connessione.
  3. Toccare lo slot per la connessione di rete e andare su Modifica -> DNS.
  4. Toccare No e aprire le Impostazioni avanzate. Quindi modificare entrambi i campi come segue:
    • DNS primario54.38.133.70
    • DNS secondario54.38.133.70
  5. Salvare le modifiche ed eseguire il test di connessione.
  6. Se il test ha avuto esito positivo, è possibile spegnere il dispositivo ora e passare alla Sezione III.

Opzione II: Configurazione del proprio safecerthax-proxyPermalink

Prossimamente.

Sezione III: Esecuzione dell’exploitPermalink

[stextbox id=’info’]Nota: L’exploit non ha una percentuale di successo del 100%. Potrebbe bloccarsi o rimanere bloccato su di uno schermo nero. In tal caso, riprovare dal passaggio 1 di questa sezione. Tuttavia, se il problema persiste, consultare la sezione Risoluzione dei problemi delle FAQ.[/stextbox]

  1. Accendere il dispositivo in modalità di ripristino tenendo premuto + + +  all’avvio.
  2. Toccare OK e I Aggree quando chiede di connettersi a Internet per aggiornare il tuo dispositivo.
  3. Toccare OK per iniziare il falso aggiornamento.
  4. L’aggiornamento dovrebbe fallire e dovrebbe apparire un messaggio di errore.
  5. Chiudere il messaggio di errore.
  6. L’exploit dovrebbe essere eseguito e avviare SafeB9SInstaller.

FAQ

Domanda: Come funziona safecerthax?
Risposta: Safecerthax utilizza SSLoth per bypassare le verifiche dei certificati SSL/TLS e falsificare i server di aggiornamento del sistema 3DS (NUS). Il DNS di safecerthax reindirizza le richieste a un falso server NUS personalizzato. Il server NUS personalizzato attiva un falso aggiornamento del sistema che sfrutta una vecchia vulnerabilità nel firmware della modalità di ripristino O3DS e 2DS (SAFE_FIRM).

Domanda: È sicuro usare safecerthax?
Risposta: Sì, è sicuro almeno quanto qualsiasi altro exploit a catena intera. Tuttavia, considerando che SSLoth è una cosa, dovresti evitare di utilizzare DNS personalizzati e server proxy. I server safecerthax sono sicuri, ma su questo punto non hai altra scelta che fidarti di me.

Domanda: Cos’è esattamente SSLoth?
Risposta: Per ulteriori informazioni su SSLoth, visitare la repository SSLoth.

Domanda: Safecerthax funzionerà mai su N3DS e N2DS?
Risposta: Sfortunatamente, non funzionerà mai sui dispositivi N3DS e N2DS. safecerthax utilizza alcune vulnerabilità molto vecchie che la versione del firmware 5.0.0 ha corretto su NATIVE_FIRM (il firmware regolare). Il firmware della modalità di ripristino O3DS/2DS (SAFE_FIRM) si basa su di una revisione del firmware molto vecchia che è ancora vulnerabile a questi difetti. N3DS/N2DS SAFE_FIRM è molto più recente e si basa sulla versione firmware 8.0.0 che non è vulnerabile.

Domanda: Posso configurare il mio proxy/server safecerthax?
Risposta: Sì, è possibile, sia il proxy safecerthax che il server safecerthax sono open source e disponibili su GitHub. Per le istruzioni complete su come configurare un proxy safecerthax locale, consultare la Guida poco sopra.

Domanda: Il mio pulsante sulla parte superiore della console è rotto, sono fregato? 
Risposta: Sì, l’avvio in modalità provvisoria richiede di tenere premuto + + +  all’avvio. Se non riesci a farlo funzionare, dovresti probabilmente provare un altro exploit come seedminer.

Risoluzione dei problemi

[stextbox id=’info’]Nota: Se si verifica un problema che non viene elencato qui o se il problema persiste, creare un ticket con il problema dettagliato nella repository GitHub di safecerthax (modello del dispositivo, regione, versione del firmware ecc..). Puoi anche contattarmi su Twitter o cercare aiuto sul server discord di Nintendo Homebrew.[/stextbox]

Domanda: Dopo aver configurato il DNS di safecerthax nelle impostazioni di rete, il test di connessione non riesce.
Risposta: Innanzitutto, dovresti verificare di aver inserito l’indirizzo IP corretto. Se non ci sono errori, il server DNS potrebbe essere inattivo, aspettare e riprovare più tardi in tal caso.

Domanda: Quando si esegue l’exploit, viene visualizzato un messaggio di errore, ma dopo averlo chiuso il dispositivo si spegne.
Risposta: Per prima cosa, controllare di aver configurato correttamente il DNS. Se non ci sono errori, il server DNS o il server NUS personalizzato potrebbero essere inattivi, aspettare e riprovare più tardi in tal caso.

Domanda: Quando si esegue l’exploit, la console congela o si blocca.
Risposta: L’exploit non ha una percentuale di successo del 100%, riprovare, alla fine dovrebbe funzionare.

Domanda: Durante l’esecuzione dell’exploit, si verifica un arresto anomalo.
Risposta: Riprovare. Se il problema persiste, creare un ticket di emissione dettagliato nel repository GitHub di safecerthax.

Fonte¹: wiidatabase.de

Fonte²: safecerthax.rocks

ARTICOLI CORRELATIALTRO DALL'AUTORE

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.