Il developer idlesauce ha lavorato su di una versione modificata e ottimizzata dell’exploit UMTX sviluppato inizialmente da SpecterDev, che integra il lavoro originale con miglioramenti pratici e un’interfaccia più user-friendly.
Questa nuova versione, denominata UMTX2, si basa sullo stesso principio tecnico dell’exploit originale, sfruttando una vulnerabilità di tipo use-after-free (UAF) nel sistema operativo della console PlayStation 5.
La falla, identificata come CVE-2024-43102, riguarda la gestione degli user-space mutex (UMTX), un meccanismo di sincronizzazione tra thread, e consente di ottenere un maggiore controllo sul sistema.
Funzionamento tecnico
Trigger della vulnerabilità
- Un mutex in user-space viene liberato (freed) mentre un altro thread lo sta ancora utilizzando, creando una condizione di use-after-free. Questo permette di manipolare la memoria dopo che è stata deallocata.
- La falla consente di ottenere una mappatura di lettura/scrittura sullo stack di un thread del kernel, un punto critico perché lo stack del kernel contiene dati sensibili e può essere usato per controllare l’esecuzione.
Primitiva di accesso alla memoria
- Utilizzando operazioni di lettura e scrittura tramite pipe (un meccanismo di comunicazione tra processi), l’exploit costruisce una primitiva di accesso arbitrario alla memoria del kernel (arbitrary read/write, o ARW). Questo significa che può leggere o modificare qualsiasi indirizzo di memoria nel kernel.
- La primitiva iniziale è instabile, quindi viene potenziata usando socket IPv6. Questi socket permettono di sovrascrivere strutture dati del kernel (come i descrittori dei file) per stabilizzare l’accesso ARW.
Limitazioni
- La PS5 utilizza una protezione chiamata Execute-Only Memory (XOM), che impedisce l’esecuzione diretta di codice arbitrario nel kernel. Di conseguenza, l’exploit non può iniettare ed eseguire shellcode nel kernel, ma può comunque manipolare dati per ottenere privilegi elevati.
Obiettivo finale
- Con l’ARW stabilizzato, l’exploit sovrascrive strutture critiche del kernel per ottenere privilegi di root e accedere al menu di debug della PS5. Inoltre, prepara il sistema per caricare payload ELF (file eseguibili) in user-space.
Caratteristiche principali
- Compatibilità: Supporta le versioni del firmware PS5 dalla 1.00 alla 5.50.
- Menu dei payload: Include un’interfaccia per la gestione dei payload.
- PSFree 150b: Utilizza la versione 150b dell’exploit PSFree, sviluppata da abc.
- ELF Loader: Carica automaticamente il loader ELF di @john-tornblom.
- Compatibilità con payload precedenti: Include il loader ELF 9020 per supportare payload più datati (non disponibile in modalità solo Webkit).
- Modalità Webkit-only: Offre una modalità per inviare payload e cancellare la cache delle applicazioni tramite Webkit.
Accesso all’exploit
L’exploit è ospitato su due piattaforme:
- Pagina CloudFlare:
- Sito: https://umtx2.pages.dev/
- Pacchetto media (PKG): https://umtx2.ps5browser.pages.dev/umtx2.pages.dev.pkg – consente di aprire direttamente il browser PS5 al link dell’exploit.
- Pagina GitHub:
- Sito: https://idlesauce.github.io/umtx2/
- Pacchetto media (PKG): https://umtx2.ps5browser.pages.dev/umtx2.github.pkg – stesso scopo, ma per il sito GitHub.
Fonte: github.com
