本レポートでは、AI支援の研究者がどのように書き込み可能なドライバーインターフェースを悪用して、サムスンスマートテレビのブラウザーの足がかりからroot権限へ昇格させたかについて説明しています。
この研究は、ベンダードライバーの小さな誤りが、攻撃者がソースレビュー、ライブテスト、および慎重な権限昇格を組み合わせることで、デバイス全体の侵害となる可能性があることを示しています。
テストは、完全なデバイスエクスプロイトではなく、テレビのブラウザアプリケーション内でのコード実行から始まりました。
チームはその後、AIに現実的な環境を提供しました。ARMバイナリーを構築するためのコントローラーマシン、テレビ上のシェルセッション、およびコードをライブシステムと比較できるようにするマッチするサムスンファームウェアソースです。
サムスンの実行制限も重要でしたので、署名されていないプログラムはディスクからではなくメモリーから起動する必要がありました。
目標は単純でした。ブラウザーレベルのアクセスからデバイス上のrootへ移動することです。それを可能にするために、AIはターゲットを列挙し、到達可能な攻撃パスを特定し、物理メモリプリミティブを検証し、最終的な侵害が成功するまでツールを継続的に適応させる必要がありました。
主な弱点はサムスンのntkysysドライバーインターフェースにあり、それは誰でも書き込み可能な権限で露出していました。
ドライバーはユーザー制御の物理アドレスとサイズの値を受け入れ、それらをテーブルに格納し、その後、選択した物理ページをmmapを経由してユーザー空間にマップしました。その設計は、権限のないプロセスに生の物理メモリアクセスへのパスを実質的に提供しました。
2番目のインターフェースであるntkhdmaは、DMAバッファーの物理アドレスをリークしたため、エクスプロイトのデモンストレーションを容易にしました。
そのリークは主なバグではありませんでしたが、AIにより敏感なメモリーに進む前に読み取りおよび書き込みアクセスをテストするための既知のページを与えました。マッピングが機能すると、研究者はドライバーが物理メモリプリミティブとして悪用される可能性があることを確認しました。
物理メモリアクセスが確保されると、残りのタスクは変更する正しいカーネルデータを特定することでした。ブラウザープロセスはすでに権限のないユーザーとして実行されていたため、メモリー内のそのクレデンシャル構造がターゲットになりました。
システムのブートパラメーターから回復したRAMレンジをスキャンすることにより、AIは一致するクレデンシャルオブジェクトを見つけ、フィールドにパッチを適用し、rootシェルを起動しました。
実際的には、これはテレビがブラウザーを制限されたアプリとして扱わなくなったこと、つまりデバイス上で最も強力なプロセスとして扱ったことを意味します。
この研究は、AIがバグを要約すること以上のことができることを示しているため、注目に値します。現実的な足がかり、ソースコード、および実行可能なラボセットアップが与えられれば、AIは発見、検証、およびエクスプロイテーションを実ハードウェア上での有効なroot侵害に組み合わせることができます。
翻訳元: https://cyberpress.org/samsung-tv-root-access-gained/