L’attesa è terminata, il kernel exploit per il sistema operativo delle console Xbox, noto come Xbox SystemOS è stato rivelato ufficialmente al pubblico.
Collateral Damage sfrutta la vulnerabilità CVE-2024-30088 prendendo di mira le console Xbox One e Xbox Series che eseguono le versioni del kernel 25398.4478, 25398.4908 e 25398.4909. L’entrypoint iniziale è tramite l’applicazione Game Script UWP.
i'm excited to share Collateral Damage, a kernel exploit for SystemOS on Xbox One/Series consoles! this initial release is mostly intended for developers, but i hope people will enjoy playing around with it! writeup and more updates in the near future 🙂 https://t.co/D1VW0u79pr
— emma (@carrot_c4k3) July 15, 2024
L’exploit è stato sviluppato da Emma Kirkpatrick (scoperta e sfruttamento della vulnerabilità) e Lander Brandt (sviluppo del caricatore PE).
Precisazione importante
Questo NON è un “jailbreak”. SystemOS è la macchina virtuale su cui girano le applicazioni, ed è l’ambiente su cui si ottiene il controllo quando si attiva la modalità dev sulla console.
Questo exploit consentirà il pieno controllo su questa macchina virtuale e l’esecuzione di homebrew sulle console retail senza modalità dev. NON consentirà la pirateria.
Avvertenze
Questa versione iniziale è destinata principalmente agli sviluppatori. Attualmente è necessario un modo per inserire i file nella directory LocalState dell’applicazione Game Script tramite un’app come Adv File Explorer (FullTrust).
Questo perché è necessario posizionare i file stage2.bin e run.exe nella directory LocalState. In futuro, verrà fornito un payload che caricherà questi file tramite rete, quindi il payload iniziale sarà semplicemente uno script inseribile tramite un emulatore di tastiera USB.
L’esempio di shell inversa fornito richiede che la console sia connessa a una rete. Quando si connette la console a una rete, è importante evitare di connettersi a Internet e aggiornare. Si consiglia di bloccare la connettività a Xbox LIVE, impostando i DNS su server non validi.
Questo exploit non è completamente affidabile. Si basa su di un canale laterale della CPU e su di una condizione di competizione, entrambi con potenziale di fallimento.
In caso di fallimento, l’exploit potrebbe avvisare tramite output di rete, oppure la console potrebbe bloccarsi e riavviarsi.
Istruzioni per l’uso
- Modificare la riga 7 del file
gamescript_autosave.txtper contenere l’indirizzo IP locale del PC. - Copiare il file
gamescript_autosave.txt,stage2.binerun.exenella directoryLocalStatedell’applicazione Game Script sulla console (Q:\Users\UserMgr0\AppData\Local\Packages\27878ConstantineTarasenko.458004FD2C47C_c8b3w9r5va522\LocalState). - Ascoltare sulla porta
7070sul PC utilizzando netcat o un tool simile (comando esempio:nc64.exe -lvnp 7070). - Aprire l’applicazione Game Script sulla console e selezionare “Show Code Run window” e cliccare su “Run code once”.
- Se l’exploit ha successo, dovreste vedere un output sul PC simile al seguente:
listening on [any] 7070 ...
connect to [192.168.0.61] from (UNKNOWN) [192.168.0.130] 49665
Collateral Damage - @carrot_c4k3 & @landaire (exploits.forsale)
Build number: 25398.4478
Attempting to find kernel base...
Found likely kernel base: FFFFF80AF9800000
Attempting exploit...
Exploit succeeded! Running payload!
Microsoft Windows [Version 10.0.25398.4478]
Copyright (c) Microsoft Corporation. All rights reserved.
S:\>Sperimentazione
È necessario un lavoro aggiuntivo per rendere questo exploit uno strumento user-friendly per caricare homebrew sulla Xbox, ma questo fornisce un buon punto di partenza.
Se si desidera sperimentare l’esecuzione di codice come SYSTEM, è possibile inserire il proprio codice nella funzione post_exploit in post_exploit.c.
Lavori futuri
C’è ancora molto lavoro da fare, ma poiché la parte del kernel è completata, si è deciso di condividere il lavoro con la comunità per consentire agli sviluppatori di iniziare a sperimentare con i privilegi di SYSTEM.
Ecco alcune delle funzionalità che si spera di aggiungere in futuro:
- Supporto per il caricamento laterale.
- Avvio di processi non firmati non-UWP.
- Supporto SSH.
- Ulteriori idee sono benvenute.
Download: Collateral Damage v1
Download: Source code Collateral Damage v1
Fonte: twitter.com
