Konsolen-Hacking-Beiträge gehören mittlerweile fast zur Tradition auf dem "Chaos Communication Congress", der auch dieses Jahr wieder in Hamburg stattfindet. PoroCYon nimmt dieses Mal den Nintendo DSi unter die Lupe.
In der Präsentation wird erklärt, wie die Boot-ROM des Nintendo DSi extrahiert werden konnte und wie mithilfe neuer Exploits ein tieferer Zugriff auf das System möglich ist. Zusätzlich wird es möglich sein, Konsolen mit abgenutztem eMMC NAND-Chip wiederzubeleben.
Los geht’s am 28. Dezember 2023 um 14:45 Uhr; der Talk dauert ca. eine Stunde. Natürlich wird das Ganze auch live auf der Website des CCC gestreamt. Nötiges Fachwissen ist hilfreich, es soll aber auch für Laien interessant und lehrreich werden.
GaryOderNichts hat einen neuen Kernel-Exploit präsentiert, der eine Schwachstelle im DNS-Client der Wii U ausnutzt. Mittels DNS wird zu einem Domain-Namen die zugehörige IP-Adresse ermittelt.
Bei dem Netzwerk-Stack der Wii U handelt es sich um eine modifizierte Version von NicheStack, welches von InterNiche Technologies entwickelt wurde. Erst vor zwei Jahren wurde die Schwachstelle CVE-2020-25928 bekannt; ein Heap-Buffer-Overflow, der zu Remote-Code-Execution führen kann. Konkret muss ein modifiziertes DNS-Paket gesendet werden, welches in einen Puffer mit fester Größe geladen wird – dabei wird die tatsächliche Größe allerdings nicht überprüft. Es stellte sich heraus, dass Nintendo diesen Bug sogar schon selbst behoben hatte – allerdings nicht vollständig. Den vollständigen Write-Up findet ihr auf dem Blog von GaryOderNichts.
Das Ende vom Lied: Eine neue, einfache Möglichkeit, bspw. Aroma einzurichten. Auf GitHub findet ihr auch eine Anleitung, wie ihr DNSpresso selbst hosten könnt.
Primärer ARM9-Kernel-Exploit für die Firmware 11.4 is 11.17 für alle Systeme der Nintendo-3DS-Familie. Benötigt einen PC!
UPDATE, 10.10.23: Die v4 Beta wurde heute als v1.0 ohne Änderungen neu veröffentlicht.
Ein Menü wurde hinzugefügt, mit dem sich das 3DS-Modell und die Firmware einfach auswählen lässt. Damit ist es nicht mehr nötig, das Python-Skript händisch zu editieren!
Convenient menu to choose your 3ds type. Thank you Lily for this feature!
Primärer ARM9-Kernel-Exploit für die Firmware 11.4 is 11.17 für alle Systeme der Nintendo-3DS-Familie. Benötigt einen PC!
Das ging schnell! Zoogie hat den neuen ARM9-Kernel-Exploit "MSET9" für den Old3DS auch auf dem New3DS lauffähig gemacht! Als netter Bonus werden nun auch zusätzlich die Firmware 11.4 bis 11.7 unterstützt.
Die Anleitung bleibt fast die gleiche; es muss lediglich im Python-Skript der Wert einer Variable geändert werden. Näheres auf unserer Download-Seite.
ARM9-Kernel-Exploit und eine einfachere Alternative zu unSAFE_MODE.
Luigoalma hat nimdsphaxveröffentlicht. Dabei handelt es sich um einen ARM9-Kernel-Exploit, der als Alternative zu unSAFE_MODE angesehen werden kann.
Dies ermöglicht nach wie vor nicht die Installation von boot9strap auf einem Old3DS auf der aktuellen Firmware ohne zusätzliche Hardware!
Unterstützt werden alle 3DS-Modelle mit den Firmware-Versionen 11.8 bis zur aktuellen (11.17 derzeit). Wer in den Homebrew Launcher booten kann, kann also nimdsphax ausführen und spart sich damit den ganzen Umweg mit der Installation des gehackten Wi-Fi-Slots wie es bei unSAFE_MODE nötig wäre. Auf dem New3DS verkürzt dies die Installation von boot9strap deutlich, da nur noch super-skaterhax ausgeführt werden muss. Auf dem Old3DS ergibt sich hier leider kaum eine Zeitersparnis.
Ob es in Zukunft auch wieder eine einfache Möglichkeit geben wird, boot9strap auf dem Old3DS zu installieren, bleibt abzuwarten. Mit dem New3DS empfehlen wir jetzt ein System-Update auf 11.17 und dann super-skaterhax mit nimdsphax.
Unterstützt werden die Firmware-Versionen 11.15 und 11.16 und natürlich nur der New3DS. Mittels unSAFE_MODE kann damit eine Custom Firmware installiert werden ohne seedminer benutzen zu müssen – nicht, dass es irgendeinen Unterschied machen würde. Sicherlich wird Nintendo auch diesen Exploit wieder schnell patchen.
PabloMK7 hat einen Fehler in zahlreichen First-Party 3DS-, Wii-U- und Switch-Spielenöffentlich gemacht, der es einem Angreifer ermöglicht, unsignierten Code auszuführen, selbst wenn die Konsole des Opfers nicht gemoddet ist. Nintendo hat den Fehler bereits in einigen Spielen behoben.
UPDATE, 26.12.22, 00:15 Uhr: Ein Aroma-Plugin wurde veröffentlicht, welches den Bug in Mario Kart 8 und Splatoon behebt.
Die Schwachstelle, die "ENLBufferPwn" getauft wurde, wurde bereits von mehreren Personen im Jahr 2021 entdeckt und nach und nach an Nintendo gemeldet. Laut dem CVSS 3.1 Calculator handelt es sich dabei um eine Lücke mit einer Schwere von 9,8 von 10 Punkten.
Welche Spiele sind/waren betroffen?
Mario Kart 7 (behoben in v1.2, kürzlich erschienen)
Splatoon 3 (behoben Ende 2022, genaue Version unbekannt)
Super Mario Maker 2 (behoben in v3.0.2)
Nintendo Switch Sports (behoben Ende 2022, genaue Version unbekannt)
eventuell noch mehr
Was genau ist das Problem?
Konkret handelt es sich bei ENLBufferPwn um einen Buffer-Overflow in der C++-Klasse "NetworkBuffer", die von einigen First-Party-Spielen verwendet wird. Diese Klasse enthält zwei Methoden "Add" und "Set", die den Buffer mit Daten von anderen Spielern befüllen. Allerdings wird dabei nicht geprüft, ob diese Daten überhaupt in den Buffer passen, was zu einem Buffer-Overflow führt und ausgenutzt werden kann. Eine genauere technische Erklärung finden Interessierte in der GitHub-Repo.
Welche Auswirkungen hat das?
Ein Angreifer kann sämtlichen Code auf fremden Geräten ausführen. In einem Video sieht man, wie in einer alten Version von Mario Kart 7 das HOME-Menü ohne Zutun des Nutzers geöffnet wird und in einem Proof-of-Concept-Video ist zu sehen, wie der SafeB9SInstaller auf einer ungemoddeten Konsole ausgeführt wird. Ein anderes Proof-of-Concept zeigt unsignierten Code auf der Wii U über den Online-Modus von Mario Kart 8.
Man kann nur hoffen, dass Nintendo den Fehler auch in den Wii-U-Spielen behebt.
Nutzt ein Versäumnis beim Parsen der USB-Deskriptoren aus, um Code kurz nach dem Start der Konsole auszuführen. In Verbindung mit dem Wii U Recovery Menu ideal zum Unbricking von bspw. Coldboot-Haxchi-Bricks! Raspberry Pi Pico, Zero oder eine hackbare Nintendo Switch benötigt!
Die Wii U schaltet sich nun ab, wenn das Recovery-Menu nicht auf der SD-Karte gefunden wird. Auch werden der Full-Speed- und High-Speed-Modus unterstützt, damit mehr Linux-Systeme funktionieren.
Changelog UDPIH
* The console now powers off if the recovery_menu cannot be loaded from the SD Card.
* The gadget now supports both full speed and high speed mode, to support more linux systems.
Der Nintendo Switch Payload funktioniert jetzt auch auf Mariko-Geräten per Modchip und hekates Minerva wird nicht mehr auf der SD-Karte benötigt. Auch wird die Option "Reboot (RCM)" auf gepatchten Konsolen deaktiviert; genau wie die Option "Reboot to hekate", wenn hekate nicht gefunden wird.
Changelog UDPIH Nintendo Switch Payload
* The payload now properly supports and uses xusb on all consoles.
** This means mariko units should be supported now.
** The payload no longer needs minerva, which was requiring the minerva hekate module on the SD Card.
** The "Reboot (RCM)" options is now disabled on patched consoles and "Reboot to hekate" is disabled if hekate cannot be found.
* Udpih was updated to Release 2.
GaryOderNichts hat für den gestern erschienenen Wii-U-Exploit "UDPIH" einen Switch-Payloadveröffentlicht. Somit wird nur eine ungepatchte Switch benötigt, um eine Wii U zu entbricken!
Die Nutzung ist denkbar einfach – den Payload über Fusée Gelée injizieren, "Run UDPIH gadget" mit "POWER" auswählen, Recovery Menu im Root der SD-Karte der Wii U ablegen, Wii U starten und beim "Wii U" Logo die Switch in einen der vorderen USB-Ports anstecken. Ein Video findet ihr auch auf YouTube.
GaryOderNichts hat einen neuen Exploit für die Wii U veröffentlicht, der ein Versäumnis im USB-Host-Stack der Konsole ausnutzt, um Code sehr früh beim Boot auszuführen – damit lassen sich in Verbindung mit dem ebenfalls veröffentlichten Recovery Menu u.a. Coldboot-Haxchi-Bricks fixen!
Nutzt ein Versäumnis beim Parsen der USB-Deskriptoren aus, um Code kurz nach dem Start der Konsole auszuführen. In Verbindung mit dem Wii U Recovery Menu ideal zum Unbricking von bspw. Coldboot-Haxchi-Bricks! Raspberry Pi Pico, Zero oder eine hackbare Nintendo Switch benötigt!
Mit dem Wii U Recovery Menu lassen sich u.a. Bricks reparieren, die durch den unsachgemäßen Umgang mit Coldboot Haxchi entstanden sind. Muss über UDPIH gebootet werden!
Konkret handelt es sich dabei um ein Versäumnis beim Parsen der USB-Deskriptoren. Mit diesen Deskriptoren stellen USB-Geräte verschiedene Informationen über sich selbst bereit – bspw. die USB-Version, die Hersteller- und Produkt-ID, usw. Zuerst werden beim Start die Geräte-Deskriptoren vom USB-Host-Stack gelesen; anschließend folgen die Konfigurations-Deskriptoren. Diese Deskriptoren haben keine feste Größe, sondern lege diese selbst in einem vorgegebenen Feld fest. Zudem müssen einige Felder zusätzlich byte-geswapped werden, da diese nur in Little Endian vorliegen, aber in Big Endian benötigt werden.
Nintendo hat es versäumt, zu prüfen, ob die angegebene Größe der tatsächlichen Größe entspricht, was einen "out-of-bounds" Byteswap ermöglicht. Der Blogbeitrag von GaryOderNichts geht tiefer ins Detail.
Um den Bug auszunutzen, muss man also ein Gerät besitzen, welches USB-Geräte und somit beliebige USB-Deskriptoren emulieren kann. Die populärsten sind zweifelsohne der Raspberry Pi Pico und der Raspberry Pi Zero, die beide sehr günstig zu haben sind. Eine genaue Anleitung stellt GaryOderNichts auf GitHub zur Verfügung – kurz gesagt muss der Pi Pico geflashed und beim Pi Zero ein Kernel-Modul integriert werden. Anschließend muss das Recovery Menu auf die SD-Karte der Wii U platziert und beim Start der Konsole (beim "Wii U" Logo) der Pi eingesteckt werden.
Im Recovery Menu lässt sich u.a. der Coldboot-Titel wieder auf das Wii-U-Menü zurücksetzen, OTP + SEEPROM dumpen, die PIN des GamePads anzeigen uvm.
Das dürfte wieder Leben in etliche Wii Us einhauchen, die durch den unsachgemäßen Umgang mit Coldboot Haxchi gebrickt wurden!
Kernel-Exploit-Payload für die Firmware 1.0 bis 11.15 für die einfache Installation von boot9strap.
Die Versionen 9.3, 9.4 und 9.5 werden jetzt auch unterstützt, sie haben vorher versehentlich gefehlt. Auch werden mehr Farben angezeigt, falls ein Problem auftritt.
* Add support for system version 9.3, 9.4, 9.5 (previously missing by accident)
* Even more LCD fill colors for troubleshooting (orange/magenta/pink)
* Mini_b9s_installer has been removed and now usm launches SafeB9Sinstaller instead.
* Updated universal-otherapp submodule.
* Some warnings fixed and other minor things.
* Hotfix 5/23/22 - fix write permission error on bb3 installer
