Σελ. 2 από 2 ΠρώτηΠρώτη 12
Εμφάνιση 16-17 από 17
  1. #16
    Εγγραφή
    16-07-2004
    Περιοχή
    Θεσσαλονίκη
    Ηλικία
    55
    Μηνύματα
    2.049
    Downloads
    0
    Uploads
    0
    Τύπος
    PSTN
    Ταχύτητα
    20480/1024
    ISP
    ΟΤΕ Conn-x
    Router
    ZTE w300i
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από uncharted Εμφάνιση μηνυμάτων
    @zardoz

    Ενδιαφεροντα ολα αυτα που αναφερεις. Πιστευεις οτι ειναι εσκεμμενη "αβλεψια" λογω καποιας... τριγραμματης?
    Το συγκεκριμένο δε το θεωρώ σκόπιμο, είναι σειρά συμπτώσεων (σατανικών μεν, συμπτώσεων δε, σίγουρα απαράδεκτων).

    Όμως. H αναζήτηση του exploit είναι (όπως όλες) ενδελεχής - κάτι σαν οι εν λόγω ερευνητές να χτίζουν "προφίλ" για
    μελλοντική τους πρόσληψη από κάποιο φορέα cyber security ή από την τριγράμματη (αν δεν είναι ήδη υπάλληλοι σε κάποια).

    Ακόμα χειρότερα, δημοσιεύουν αναλυτικά στο 100% το exploit, παραθέτουν και κώδικα στο πιάτο ώστε - κάποιοι τρίτοι να
    τρέξουν να το υλοποιήσουν - αφήνοντας όσους δε μπορούν να ενημερώσουν στο έλεος του εξαποδώ.
    Όλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και κατεβαίνουν
    από εδώ: https://play.google.com/store/apps/d...=Carbon+People

  2. #17
    Εγγραφή
    06-07-2007
    Περιοχή
    Ηράκλειο Κρήτης
    Ηλικία
    40
    Μηνύματα
    1.171
    Downloads
    0
    Uploads
    0
    Τύπος
    ADSL2+
    Ταχύτητα
    16000/850
    ISP
    Forthnet
    DSLAM
    Forthnet - ΘΕΡΙΣΣΟΣ
    Router
    Technicolor TD5130
    SNR / Attn
    6,1(dB) / 18,5(dB)
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από zardoz Εμφάνιση μηνυμάτων
    To ΑΡΧΙΚΟ άρθρο του project zero βρίσκεται εδώ: https://blog.exodusintel.com/2017/07/26/broadpwn/

    Για όσους βαριούνται να το διαβάσουν, εκμεταλεύεται 11 ΑΠΑΡΑΔΕΚΤΕΣ ΣΥΜΠΤΩΣΕΙΣ:

    - Το ότι το συγκεκριμένο BCM chip έχει DEP αλλά όχι ASLR

    - To ότι η μνήμη του είναι σε RWX state ολόκληρη !!!! οπότε ούτε DEP δεν έχει νόημα αφού μπορείς να γράψεις στο heap

    - Τό ότι κάποιοι δημοσίεύσαν διαβαθμισμένο κώδικα σε ένα ξεχασμένο router VMG-1312 που τύχαινε να χρησιμοποιεί το εν λόγω chip

    - To ότι μέσα στον εν λόγω κώδικα υπάρχει μια ρουτίνα wlc_bss_parse_wme_ie που αφορά το WMM και έχει ένα *malloc που δεν κάνει πριν buffer overrun check

    - Το ότι το buffer overrun bug αυτό σου δίνει 211 όλόκληρα bytes να κάνεις overflow με δικό σου κώδικα

    - Το ότι μπορείς να γράψεις εύκολα τέτοιο κώδικα μια και όλα τα BCM chips τρέχουν ARM Cortex-R4

    - Το ότι κατά το WPA2 negotiation (πρίν το authenticate, στο σημείο που γίνεται η συνδιαλλαγή MAC/SSIDs μεταξύ AP και client) καλείται η ρουτίνα παραπάνω !! ΝΑΙ πρίν διευθετηθεί το authenticate!!!

    - Το ότι, με το struct που περνούσαν στην μη-ελεγμένη ρουτίνα, κέρδισαν όχι μόνο 211 απροστάτευτα bytes, αλλά και έναν έξτρα write-one-dword ANYWHERE pointer !!!

    - Το ότι σκίστηκαν και βρήκαν στο δημοσιευμένο source code ένα buffer με διεύθυνση σταθερή, ανεξαρτήτως firmware build !!!!!

    - To ότι, σε 211 bytes έγραψαν έναν δικό τους pspoll_timer, τον έστειλαν στον "σταθερό" buffer παραπάνω κάνοντας ένα flood από προσπάθειες μέχρι να πιάσουν πρώτοι την κορυφή του buffer, και με τον write anywhere pointer παραπάνω, άλλαξαν το heap να τρέξει αυτό τον κώδικα στο επόμενο return.

    - Και ο μικρος αυτός κώδικας αναζητούσε ελεύθερα στη μνήμη μια ρουτίνα wlc_recv (στην οποία παιρνούν μέσα-έξω όλα τα πακέτα) την οποία αν την αλλάξεις, μπορείς απλά να ψάχνεις για non-https κώδικα πχ top.location.href = http://www.adslgr.com και να τον αλλάζεις σε ότι θέλεις. Και ναι, η ρουτίνα ήταν ορατή στον "δημοσιευμένο" κώδικά, οπότε ήξεραν τι ψάχνουν.


    Γι αυτό και δεν εμπιστεύεσαι κώδικα από ανθρώπους και - εκτός ότι αφήνεις τη μηχανή (DEP, ASLR) να κάνει σωστά (χμ όσο μπορεί) την δουλειά της, ΔΕΝ ΕΠΙΤΡΕΠΕΙΣ ΝΑ ΓΡΑΦΕΤΑΙ ΤΙΠΟΤΕ (εκτός data) ΣΤΟ HEAP ME
    POINTERS - οι διευθυνεις στο heap μπαίνουν μόνο από το addressing της μηχανής. Από το 2001 το κυνηγάνε, ακόμα δεν το έκαναν υποχρεωτικό - τυχαίο? δε νομίζω.

    Και ας μη ξεχνάμε υπάρχει ακόμα το https://cve.mitre.org/cgi-bin/cvenam...=CVE-2017-0561
    Μεγάλε μας έστειλες, αξιος

Σελ. 2 από 2 ΠρώτηΠρώτη 12

Παρόμοια Θέματα

  1. Μηνύματα: 1
    Τελευταίο Μήνυμα: 13-07-17, 10:29
  2. Μηνύματα: 12
    Τελευταίο Μήνυμα: 02-05-17, 23:56
  3. Μηνύματα: 6
    Τελευταίο Μήνυμα: 28-01-17, 12:14
  4. Μηνύματα: 40
    Τελευταίο Μήνυμα: 08-11-16, 12:50
  5. Μηνύματα: 33
    Τελευταίο Μήνυμα: 13-08-16, 00:23

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας