PS4/PS5 Mast1c0re-Hack: McCaulay veröffentlicht Teil 2 – Willkürliche PS2-Codeausführung
Nach seinem ersten Blogbeitrag vor 2 Tagen hat der Sicherheitsforscher McCaulay Hudson nun seinen zweiten Artikel (von erwarteten 4) veröffentlicht, in dem er beschreibt, wie er die Ausführung von unsigniertem PS2-Code erreicht, nachdem er gezeigt hat, wie man die PS2-Speicherdatei teilweise ändert 1.
Was ist Mast1c0re für PS5 und PS4?
Mast1c0re ist ein ungepatchter Exploit für PS4 und PS5, der eine Schwachstelle in der PS2-Emulationsschicht von Sonys neueren Konsolen ausnutzt. Die Schwachstelle wurde im September letzten Jahres vom PlayStation-Hacker CTurt offengelegt und sehr detailliert beschrieben , aber es wurde noch keine vollständige „benutzerfreundliche“ Implementierung veröffentlicht.
Damals erklärte CTurt, Sony habe nicht vor, die Schwachstelle zu beheben, was durch neuere Videos bestätigt zu werden scheint, die zeigen, dass die Schwachstelle immer noch vorhanden ist, in der neuesten PS5 6.50-Firmware (und es ist davon auszugehen, dass sie in PS4 10.01 als gut) ab Januar 2023.
Die kürzlich veröffentlichten Beta-Firmwares PS5 7.00 und PS4 10.50 müssen noch bestätigt werden, aber es gibt guten Grund zu der Annahme, dass sie ebenfalls anfällig sind.
Mast1c0re Exploit – was ist neu und was kommt als nächstes
Hudson vertieft sich weiter in den Exploit von CTurt und führt uns durch alle Schritte, die erforderlich sind, um letztendlich PS2-ISOs aus dem Exploit auf eine PS4 oder PS5 laden zu können.
Im heutigen Beitrag erfahren wir, dass das ausgenutzte Spiel Okage Shadow King eine Integritätsprüfung der gespeicherten Daten durchführt (mit einem CRC), was bedeutet, dass, wenn Sie zB den Namen des Spielers ändern, um einen Pufferüberlauf auszulösen, die Integritätsprüfung fehlschlägt und das gespeicherte Spiel gewonnen hat nicht geladen werden. Hudson (und vermutlich CTurt vor ihm) musste daher die CRC-Prüfung für das Spiel zurückentwickeln, um herauszufinden, wie man die gespeicherten Daten ändert und trotzdem die Integritätsprüfung des Spiels besteht. Das erklärt er im ersten Drittel seines heutigen Posts.
Der Rest des Artikels erinnert stark an meine persönliche Erfahrung mit PSP-Pufferüberläufen : Damals gab es wenig bis gar keinen Schutz des Ausführungszeigers, und ein einfacher Pufferüberlauf bedeutete normalerweise, dass der Zugriff im Benutzermodus gewährt wurde. Das demonstriert der Hacker im zweiten Teil seines Beitrags. Der auszuführende Shellcode ist auch in das Savefile integriert, das in den Speicher geladen wurde, sodass es „ziemlich“ einfach ist, den Ausführungszeiger dorthin zu senden. Ich weiß es zu schätzen, dass Hudson bei jedem Schritt sehr ins Detail geht, selbst bei einem „einfachen“ Pufferüberlauf, etwas, das die meisten erfahrenen Hacker normalerweise nicht tun, weil ihnen solche Dinge trivial erscheinen könnten.
Bisher hat er demonstriert, wie man beliebigen PS2-Code innerhalb der PS2-Emulationsschicht auf der PS4/PS5 ausführt. Der kommende Blog-Beitrag verspricht interessanter zu werden, da er uns einen PS4/PS5-Benutzermodus-Exploit liefern wird .
Quelle: McCaulay Hudson (danke an @mikeyknight84 für den Tipp!)