Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker ontdekt zeroclick-rce-lek in veelgebruikte firmware voor wifichips

Een securityonderzoeker heeft een rce-kwetsbaarheid gevonden in de ThreadX-firmware, die volgens de ontwikkelaar in meer dan zes miljard apparaten gebruikt wordt, inclusief de wifichips van de Surface, Galaxy J1, Steam Link, PS4 en Xbox One. Een fix is onderweg.

Omdat de fix nog niet gepubliceerd is, geeft onderzoeker Denis Selianin de exploitcode zelf niet weg in zijn verslag. Wel heeft hij een proof of concept uitgebracht voor de Steam Link. Het gaat in totaal om vier kwetsbaarheden, waarvan de grootste uitgebreid behandeld wordt. Apparaten die het besturingssysteem in kwestie gebruiken, scannen om de vijf minuten de omgeving voor wifisignalen, of ze al verbonden zijn of niet. Dit biedt de gelegenheid om door middel van een vals wifisignaal een stack-based buffer overflow te bewerkstelligen.

In de proof of concept bestaat het uiteindelijke resultaat uit wat berichten in de kernellog, maar deze exploit maakt het mogelijk om zelfgeschreven code uit te voeren, wat verregaande mogelijkheden biedt. De exploit vergt geen actie van de gebruiker, behalve dat ze het apparaat moeten aanzetten. De aanvaller moet fysiek binnen het wifibereik van het doelwit zijn om de exploit uit te voeren.

De onderzoeker heeft zich gericht op de Marvell Avastar 88W8897-wifichip, omdat deze het besturingssysteem in kwestie gebruikt en in de bovengenoemde, populaire apparaten zit. ZDNet schrijft dat de maker van het besturingssysteem werkt aan een update om de kwetsbaarheden te verhelpen.

Door Mark Hendrikman

Nieuwsposter

21-01-2019 • 11:27

49 Linkedin Google+

Reacties (49)

Wijzig sortering
Voor de mensen die denken dat hun systeem kwetsbaar is kunnen dit checken adhv pci id 11ab:2b38

Gewoon checken of je dit device id bij je apparaatbeheer hebt staan. Ja => kwetsbaar

https://pcilookup.com/?ven=11ab&dev=2b38&action=submit

[Reactie gewijzigd door JeroenED op 21 januari 2019 11:47]

Top reactie! De Microsoft Surface Pro 4 heeft hier inderdaad ook last van, zojuist gecontroleerd :(
Ouch... die dingen zijn bij mijn bedrijf vol in gebruik. Doorgeseind aan IT security, thanks for the spot!
Hier ook.. maar even in de gaten houden wat de oplossing wezen gaat. Vermoed dat dit wel via een Windows update te patchen zal zijn.
Driver update vermoed ik. :)
inderdaad, en Microsoft verspreid die normaliter door hun eigen update systeem, hoogstwaarschijnlijk gaat dit zonder dat we er ook maar iets van merken.
Als ik mijn wifi uit heb staan ben ik dan wel of niet vatbaar voor de exploit. Ik kan mijn apparaat niet vinden op die website.
Volgens mij kan je dan nog gewoon kwetsbaar zijn als je Android gebruikt.
Er is namelijk een instelling die ook bij uit staande wifi scant naar netwerken om de locatie beter/sneller te kunnen vinden.

Edit: Check je device op PCI id, zodal hierboven gezegd; dan weet je of je de marvell chip met slechte implementatie hebt.

[Reactie gewijzigd door Raymond Deen op 21 januari 2019 13:01]

Alsnog kwetsbaar, staat in het verslag
This procedure is launched every 5 minutes regardless of a device being connected to some Wi-Fi network or not. That’s why this bug is so cool and provides an opportunity to exploit devices literally with zero-click interaction at any state of wireless connection
at any state, dus ook uit?
Nee als de WiFi chipset spanningsloos is dan werkt de aanval niet.
Als de interface niet gebruikt wordt, maar je wel een lijstje van beschikbare netwerken kan krijgen... Dan heb je de functie te pakken waar de aabval op ingrijpt.

[Reactie gewijzigd door tweaknico op 21 januari 2019 14:03]

Dus vliegtuigstand of alleen Wi-Fi verbindingen uit?
Vliegtuigstand zou veilig moeten zijn. Meestal is de chipset dan spanningsloos. (In iedergeval is de er geen koppeling tussen antenne en verdere functionaliteit..., omdat de chipset dan geen signaal mag veroorzaken).
Dit gaat over de staat van de aanmelding bij een WiFi netwerk. Indien WiFi aanstaat, scant hij permanent de lokale WiFI netwerken, zodat je kunt kiezen uit de lijst van gedetecteerde netwerken. Het gaat dus al fout voordat je daaruit een netwerk kiest. Maar als WiFi uit staat en je niet scant voor beschikbare netwerken, dan negeer je dus ook zo'n malafide netwerk.
Hm. mogelijk ook andere chipset die ThreadX platform gebruiken.
Alleen van deze is het bekend.
Pfesnse box (Lenovo laptop met expresscard gigabit LAN:
[code]sh: pci: not found[/code]
Met pci id bedoelde ik niet dat dit een commando is. Een pci id is een code om een specifiek apparaat op je pc aan te duiden.

Jammer genoeg hebben de software vendors allemaal andere manieren om dit op te zoeken. Op windows staat dit in apparaat beheer. Op linux is dit via lspci maar op embedded systemen weet ik dit niet
Galaxy s6:
zeroflte:/ $ pci id 11ab:2b38
/system/bin/sh: pci: not found
127|zeroflte:/ $
Met pci id bedoelde ik niet dat dit een commando is. Een pci id is een code om een specifiek apparaat op je pc aan te duiden.

Jammer genoeg hebben de software vendors allemaal andere manieren om dit op te zoeken. Op windows staat dit in apparaat beheer. Op linux is dit via lspci maar op embedded systemen weet ik dit niet
Wat is een zeroclick-rce ? Ik kon het in deze post en die blogpost niet vinden. (remote code execution oid?)
Maar goed, de persoon achter het onderzoek snapt wel waar hij/zij mee bezig is, erg gedetailleerd.

[Reactie gewijzigd door z1rconium op 21 januari 2019 11:45]

Zeroclick-rce betekent dat je code kan uitvoeren op afstand zonder dat de gebruiker (het doelwit) iets moet doen. Dus je hebt geen fysieke toegang nodig tot het apparaat, je hoeft alleen in de buurt te zijn. Hoop dat dit helpt :)
Zeroclick-rce betekent dat je code kan uitvoeren op afstand zonder dat de gebruiker (het doelwit) iets moet doen.
De gebruiker hoeft niet het doelwit te zijn. Een aanvaller is bijvoorbeeld alleen maar geïnteresseerd in het misbruiken van het systeem als cryptocurrency miner.
ik denk dat het remote code execution is
Die 'zeroclick' geeft aan dat er geen gebruikers interactie voor nodig is.
Je moet dus dicht in de buurt zitten en erg kundig zijn om een vals signaal als een soort man in the middle attack in weten te zetten.

Niet onmogelijk hoor, maar 99,9% van iedereen met zo’n kwetsbaarheid hoeft er helemaal niet over in te zitten.
Als hier een programmatje voor ontwikkeld wordt dan kan iedere scriptkid dat op een treinstation voor elkaar krijgen en dan is het toch wel een probleem.
En met versterkers hoef je ook weer niet zo heel erg in de buurt te zitten.

[Reactie gewijzigd door air2 op 21 januari 2019 12:04]

Iemand die echt kwaad wilt hoeft niet lang te zoeken voor een interessante locatie hoor. Neem bijvoorbeeld Seats2Meet, hier kun je gratis gaan zitten om te werken, inclusief wifi-verbinding. Samen met jou doen tientallen anderen dat op elke locatie. Voornamelijk ook zakelijke gebruikers dus interessante doelwitten. Alleen in Nederland zijn er daardoor al tientallen plekken te vinden die vrij en makkelijk toegankelijk zijn. Even een hoekje zoeken waar niet teveel mensen mee kunnen kijken en gaan met die handel.

En zo zijn er natuurlijk nog veel meer makkelijke plekken te vinden waar je makkelijk doelwitten kan vinden.
Blackmarket zal hier in no_time vast een aanbod in doen :/
Erg kundig is nogal overdreven.

Ik zou er wel over in zitten, want als je ergens aan het werk ben, hotel, ov u name it, kan je overgenomen worden. Als je de socs escaleer kan je direct naar het hostgeheugen zonder expliciete toegang.
Daar ben ik het niet mee eens. We weten inmiddels dat instellingen als NSA, CIA--en, nou vooruit, ook de Chinezen--er alles aan willen doen om ons, onschuldige burgers, altijd en overal af te kunnen luisteren.
Wat is er dan prettiger dan bij een chipfabrikant iemand te hebben zitten die voor jou een rce regelt.
We zijn dus misschien wel allemaal slachtoffer.

[Reactie gewijzigd door ajolla op 21 januari 2019 16:26]

Ach, dan is het misschien een expired feature/bug. 8-)

[Reactie gewijzigd door ajolla op 22 januari 2019 06:01]

zou je 'technisch gezien' hiermee een xbox of ps4 kunne soft-modden?
aangezien je eigen code kunt laten uitvoeren

Edit: ohja je zit alleen in de processor van de wifi chip i guess?

[Reactie gewijzigd door sesone op 21 januari 2019 14:27]

Ik denk dat het ook te maken heeft met welke rechten en whatever je hebt op het apparaat zelf via deze truuk. De tijd zal het leren, of niet, want updates.
Een van de slechte ontwerpkeuzes die je bij apparaten vaak ziet is dat de subprocessors voor technische subsystemen vaak toegang hebben tot alle resources van de hoofd processor, zoals het RAM en storage. Ook hebben firmwares voor dergelijke subsystemen meestal geen rechten systeem. Alles draait als root.

Bekend voorbeeld is de baseband processor van mobiele telefoons. Vroeger had die gewoon toegang tot alles in je mobiele telefoon. En de baseband processor werd beheerd door de provider. Een gapend gat dus. Of er nog steeds telefoons zijn die dat toelaten weet ik niet. Ik hoop van niet.

In een goed ontwerp moet je dus alles compartimentaliseren, maar dat is meestal iets duurder. (bijvoorbeeld: eigen RAM-chip voor een subprocessor kost meer dan een beetje geheugen lenen van het hoofdgeheugen).
Het is voor een consument natuurlijk niet te overzien of een apparaat veilig ontworpen is. Het is ook niet iets waarop testsites testen want daar heb je wel iets meer kennis voor nodig dan weten hoe je een benchmark start. :)

[Reactie gewijzigd door locke960 op 21 januari 2019 12:27]

Ja, dat is waar ik uiteindelijk op doelde. Alleen met minder uitleg ;)
Je noemt nu alleen kosten als nadeel. Er zijn meer nadelen. Als je die co-processor eigen RAM geeft, dan kan je geen DMA (direct memory access) doen tussen de twee processoren. Dat kost je dus performance, en in mobiele toepassingen ook nog batterijduur.

Daarom zie je in moderne systemen juist een andere aanpak. De co-processoren mogen best bij het geheugen van de hoofdprocessor. Maar voor het crypto-gedeelte is er een speciale co-processor, en die heeft een klein eigen geheugen waar de hoofprocessor niet bij kan (secure enclave). Dat hoeft geen aparte RAM chip te kosten omdat het benodigde geheugen beperkt is en on-chip past.
Je hebt sowieso nog een tweede hack nodig om bij de hoofdprocessor te komen. En volgens mij voor PS4 geldt dat alleen in niet-slim versies deze chip zit.
Is de firmware van deze chips te flashen of is dit fixed?
Het zou wel grappig zijn als er iemand een patch maakt die je via deze Remote Code Execution mogelijkheid kunt uploaden. Dan is het een zichzelf dichtend lek ;)
Ja, leuk, en dan ook nog viraal.
Verwacht niet teveel van fabrikanten, zeker niet van non-pushed updates (dus consumer pull update)
Ajjj, en dan zijn er straks 500k apparaten geupdate en de rest is gewoon exploitable.....
Alleen al omdat het gros mogelijk al niet meer onderhouden wordt door de fabrikant. :'(
Dat is wel wat ik tussen de regels bedoelde.
Deed me denken aan deze presentatie, maar het zou dus om een andere techniek gaan : https://2018.zeronights.r...Marvell-Avastar-Wi-Fi.pdf
Is alvast interessant leesvoer voor wie interesse heeft in onderzoek naar deze vorm van exploits.
Zou dit ook gebruikt kunnen worden om de PS4 en Xbox te jailbreaken, of zijn daar mogelijk extra beveiligingslagen geïmplementeerd?
Is hoogstwaarschijnlijk mogelijk ja, rechten is geen issue, je hebt toegang tot de host geheugen, dus hoogste system. Je zit alleen met DRM protection, in het verslag kon dit niet onderzocht worden.

[Reactie gewijzigd door Emin3m op 21 januari 2019 14:01]

Is hoogstwaarschijnlijk mogelijk ja, rechten is geen issue, je hebt toegang tot de host geheugen, dus hoogste system. Je zit alleen met DRM protection, in het verslag kon dit niet onderzocht worden.
DRM protection zal weinig doen. Dat is al eerder gekraakt aangezien de PS4 op vroegere firmware al open gegooid is via andere gaten in de firmware. Dit is alleen weer het zoveelste gat. En mogelijk veel moeilijker te dichten.

Als Sony de firmware op de WiFi chipset zelf niet remote kan patchen, dan kan het zelfs als staging ground gaan dienen voor toekomstige aanvallen om te pogen nieuwe wegen te vinden om op de PS4 in te breken.

[Reactie gewijzigd door R4gnax op 21 januari 2019 22:16]

de bug van ThreadX block pool overflow. Nogal heftig. ik was altijd in de veronderstelling dat in dit soort gevallen je Wi-Fi aan moet staan en een actie uitvoer om de verbinding op te pakken.

[Reactie gewijzigd door Emin3m op 21 januari 2019 13:58]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True