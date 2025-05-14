Il mio primo obiettivo era stabilire una "verità di base", cioè replicare esattamente l'ambiente in cui si sa che l'exploit funziona. Poi potevo esaminare le differenze tra quella versione e quella a cui puntavo per capire cosa stava andando storto.

La maggior parte degli exploit V8 pubblici che ho trovato erano rivolti a Linux. Ho quindi iniziato compilando V8 su Linux, controllando l'esatto commit a cui era rivolto l'exploit pubblico che ho scelto. Ho poi eseguito l'exploit per assicurarmi che funzionasse e, per fortuna, è stato così. Ora avevo la mia verità di base.

Da lì, ho compilato la versione di V8 a cui mi riferivo (la stessa usata dall'app Electron) ma su Linux. L'exploit non ha funzionato subito. Il beneficio di realizzare un progetto autonomamente è che puoi analizzare il codice a tuo piacimento. In particolare, il V8 ha d8, la shell standalone per il motore JavaScript V8, utilizzata principalmente per testare, debug ed eseguire codice JavaScript e WebAssembly al di fuori di un browser o ambiente Node.js. Il d8 ha caratteristiche di debug interne abilitate contrassegnate con --allow-natives-syntax Nello specifico, %DebugPrint(value) , che restituisce la rappresentazione interna taggata del valore all'interno del motore V8, incluso il suo indirizzo in memoria.

Con questo, potrei ottenere gli indirizzi degli oggetti di interesse e utilizzare gli offset codificati dell'utilizzare pubblico. Ora ero sulla giusta strada. Avevo solo bisogno di trasferire il mio exploit su Windows.

Compilare una vecchia versione di V8 su Windows mi ha dato un sacco di grattacapi. Dovevo risolvere una serie di problemi con le dipendenze, quindi ho apportato alcune dubbie modifiche al codice interno. Ora i dettagli mi sfuggono: il mio cervello li ha bloccati per proteggermi. Dopo ore difficili, sono finalmente riuscita a compilare la versione di cui avevo bisogno! Con mia grande sorpresa, il Linux utilizzato ha funzionato su Windows senza modifiche.

Ora, non restava che utilizzare l'exploit sull'app e trattenere il respiro, ma non funzionava ancora. Perché?

All'inizio ero fiduciosa perché l'biettivo era andato in crash. Dopotutto, non avevo adattato il payload Linux per Windows, quindi non potevo aspettarmi che succedesse qualcosa di interessante. Per confermare il comportamento, ho modificato il payload exploit per eseguire all'indirizzo 0x4141414141. Questa è una tecnica comune usata dagli sviluppatori di exploit per poter vedere/dimostrare di aver ottenuto il controllo del programma controllando l'indirizzo del puntatore dell'istruzione. Tuttavia, dopo aver guardato il crash in WinDbg, non vedevo ciò che volevo. Stavo ricevendo un errore di segmentazione quando sovrascrivevo il puntatore della funzione target.

Ricordi quella cosa di Electron che seleziona i commit V8 di cui parlavo prima? Si è scoperto che, anche se l'app era vulnerabile al bug che stavo usando per utilizzare, il metodo di fuga sandbox usato dall'exploit pubblico era già stato corretto tramite cherry pick. Se non conosci il sandbox o la memory cage del V8, puoi informarti qui. In sostanza, si tratta di un modo per rendere più difficile lo sfruttamento del V8 in caso di vulnerabilità.

Per capire cosa stava succedendo, ho dovuto ricostruire la versione target del V8, questa volta applicando le patch selezionate a memoria. Oltre alle patch di sicurezza, Node.js applica anche specifiche patch Node.js alla versione del V8 utilizzata da Electron. Ci ho messo molto tempo a capire che dovevo davvero farlo, dato che non era chiaro subito come Electron ed Node.js affrontassero le loro varie dipendenze.

Dopo aver provato per un giorno o due ad assicurarmi che la versione di V8 che stavo compilando fosse *identica* al mio obiettivo e aver letto le recenti tecniche di escape sandbox, ho fatto dei progressi. Sono riuscita a trovare una tecnica di escape che funzionasse per il mio obiettivo. Dopo aver regolato l'exploit, sono finalmente riuscito a bloccare l'app controllando il puntatore delle istruzioni. Una dolce vittoria, ero quasi al termine...