Il developer EchoStretch continua ad offrire il proprio contributo alla scena PS5 introducendo gli offset di Shellcore nell’exploit Byepervisor, incoraggiando gli utenti a testarlo sui firmware 1.12, 1.14, 2.00, 2.20, 2.25, 2.26 e 2.30.
L’exploit Byepervisor sfrutta due vulnerabilità e include due catene di exploit indipendenti, una delle quali è solo a scopo di conservazione (jump table exploit), mentre l’altra, quella primaria, è il QA flags exploit.
Byepervisor Update: Ready For Testing On 1.12 1.14 2.00 2.20 2.25 2.26 and 2.30https://t.co/UchtFxmNrH
— Echo Stretch (@StretchEcho) October 26, 2024
Jump Table Exploit
Jump Table Exploit si basa su una vulnerabilità che permette l’accesso alle tabelle di salto dell’hypervisor dal kernel.
Alterando la voce di salto per la chiamata VMMCALL_HV_SET_CPUID_PS4, è possibile eseguire una catena ROP che disabilita la Nested Paging e il Guest Mode Execute Trap, permettendo di disabilitare la Execute Only Memory (XOM) nelle tabelle delle pagine kernel e abilitando la scrittura per iniettare patch.
Questo metodo richiede un numero elevato di gadget e funziona solo sul core in cui viene eseguita la catena ROP, rendendolo meno pratico.
QA Flags Exploit
L’exploit raccomandato utilizza invece i flag di qualità (QA) condivisi tra hypervisor e kernel. Quando l’hypervisor avvia le tabelle delle pagine annidate, verifica il flag di debug System Level (SL).
Se impostato, rende leggibili e scrivibili le pagine .text
del kernel. Dopo aver impostato questo flag, mettendo il sistema in modalità riposo e riattivandolo, è possibile modificare le tabelle delle pagine per leggere e scrivere sul kernel.
Limitazioni e note
Attualmente, l’enabler per Homebrew (HEN) è compatibile solo con il firmware 2.50, con il supporto per altri firmware in fase di sviluppo.
Il payload byepervisor.elf
va inviato prima di sospendere il sistema e di nuovo al riavvio. Il dump del kernel tramite exploit QA flags non include la regione .data
dell’hypervisor; per ottenerla, è necessario utilizzare il jump table exploit.
Funzionalità incluse
- Codice per il dump del kernel.
- Decrittazione di librerie di sistema tramite TCP.
- Homebrew enabler (HEN) per firmware 2.50.
Procedura d’uso
- Eseguire la catena di exploit UMTX in webkit o BD-J ed avviare un ELF loader.
- Inviare il payload
byepervisor.elf
. - Mettere la console in modalità riposo.
- Riaccendere la console.
- Inviare nuovamente il payload
byepervisor.elf
.
Obiettivi futuri
- Supporto per più firmware.
- Ottimizzazione per inviare il payload solo una volta.
- Sospensione automatica del sistema.
Download: Source code Byepervisor
Fonte: x.com