濱せっく出張版 #3 LT
- 2. 自己紹介 ? hama (@hama7230) ? 東京の大学院でM1 ? Capture The Flag ? Tokyo Westerns ? pwn担当 1
- 3. 2
- 4. 今日の内容 ? QEMUの脆弱性について ? QEMU Escapeを取り扱った問題はCTFでも 出題されるようになった ? 0CTF 2017 Finals vm_escape ? QEMU Escape ? WCTF 2017 babyescape ? QEMU Escape ? 最近のQEMU関連のCVEについて紹介 3
- 5. QEMU ? What is QEMU? ? QEMU is a generic and open source machine emulator and virtualizer. www.qemu.org/ 4 Hardware Linux QEMU QEMU Guest OS Guest OS
- 6. QEMU Escape ? QEMUの脆弱性を突いて、ホスト側で 任意の処理を実行すること 5 Hardware Linux QEMU QEMU Guest OS Guest OS host machineへ攻撃 任意コード 実行
- 7. VENOM(CVE-2015-3456) ? virtual Floppy Disk Controller (FDC)にバグ ? 任意コード実行ができ、多くの仮想化環境 に刺さった ? KVM, Xen, QEMU ? 専用サイトも立てられるほど ? http://venom.crowdstrike.com/ 6
- 9. QEMU関連のCVE 8 CVE vuln type description CVE-2017- 7980 Denial Of Service Cirrus CLGD 54xx VGA Emulator support is vulnerable about out-of-bounds r/w access CVE-2017- 8309 Denial Of Service AUD_add_capture() allocates two buffers which get never released. CVE-2017- 5931 execute arbitrary code integer overflow in handling virtio-crypto requests CVE-2017- 6058 Denial Of Service Buffer overflow in NetRxPkt::ehdr_buf in hw/net/net_rx_pkt.c
- 10. QEMU関連の脆弱性 ? 基本的にはエミュレータにバグがある ? DMAを使用する機能に多い気がする ? 任意コード実行のためには ? QEMUが動作しているhost上でのvirtual addressを取得する関数ポインタなど制御 (RIP)を奪える脆弱性が必要 9
- 11. QEMU Escape Study ? VM escape - QEMU Case Study ? http://www.phrack.org/papers/vm- escape-qemu-case-study.html ? KVM/QEMUでのRCE exploit ? CVE-2015-5165 ? memory-leak vulnerability ? CVE-2015-7504 ? heap-based overflow vulnerability 10
- 12. まとめ ? 低レイヤに起因する脆弱性はDoSにな りやすい ? RCEに持ち込まれる可能性も ? QEMU関連の脆弱性 ? 物理アドレスを取り扱うコードに存在して いる ? DMAを使用するところとか 11
- 14. 宣伝 ? Tokyo WesternsはCTFを開催します! ? Tokyo Westerns CTF 3rd 2017 ? 2017/09/02 00:00 - 2017/09/04 00:00 (UTC) ? Crypto, Pwning, Programming, Reversing, Web, ... ? ぜひ参加してみてください! 13