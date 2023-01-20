كشف Patch Tuesday في سبتمبر عن ثغرة أمنية حساسة عن بُعد في
tcpip.sys، CVE-2022-34718. تنص الرسالة من Microsoft على: "قد يرسل مهاجم غير مصادق عليه حزمة IPv6 مصممة خصيصًا إلى عقدة Windows حيث يتم تفعيل IPsec، مما قد يتيح استغلالاً لتنفيذ الشيفرة عن بُعد على ذلك الجهاز."
عادةً ما تثير الثغرات الأمنية عن بُعد الكثير من الاهتمام، ولكن حتى بعد مرور أكثر من شهر على التصحيح، لم يتم نشر أي معلومات إضافية خارج إرشادات Microsoft علنًا. ومن جانبي، لقد مر وقت طويل منذ أن حاولت إجراء تحليل فرق تصحيح الملف التنفيذي، لذلك اعتقدت أن هذه الثغرة الأمنية ستكون مناسبة للقيام بالتحليل الأساسي وإثبات مفهوم (PoC) لمنشور مدونة.
في 21 أكتوبر من العام الماضي، نشرت عرضًا توضيحيًا للاستغلال وتحليل السبب الأساسي للخطأ. وبعد ذلك بوقت قصير، نشرت Numen Cyber Labs منشور مدونة حول الثغرة، باستخدام طريقة استغلال مختلفة عن التي استخدمتها في العرض التوضيحي.
في هذه المدونة، وهي مقال لاحق لفيديو الاستغلال الذي نشرته، أقدّم شرحًا متعمقًا لعملية الهندسة العكسية الخاصة بالثغرة، كما أصحّح بعض المعلومات غير الدقيقة التي وجدتها في مدونة Numen Cyber Labs.
في الأقسام التالية، سأغطي في الأقسام التالية الهندسة العكسية لتصحيح CVE-2022-34718، والبروتوكولات المتأثرة، وتحديد الخطأ، وإعادة إنتاجه. سأضع مخططًا لإعداد بيئة اختبار وأكتب استغلال لتفعيل الخطأ وتسبب هجوم لحجب الخدمة (DoS). وأخيرًا، سأنظر إلى العناصر الأولية للاستغلال وأشرح الخطوات التالية لتحويل هذه العناصر إلى تنفيذ كود عن بُعد (RCE).
لا تحتوي نصيحة Microsoft الاستشارية على أي تفاصيل محددة عن الثغرة الأمنية باستثناء أنها موجودة في برنامج تشغيل TCP/IP وتتطلب تمكين IPsec. ومن أجل تحديد السبب المحدد للثغرة الأمنية، سنقوم بمقارنة الملف التنفيذي بعد التصحيح بالملف التنفيذي قبل التصحيح ومحاولة استخراج الفرق باستخدام أداة تسمى BinDiff.
لقد استخدمت Winbindex للحصول على إصدارين من tcpip.sys: واحد قبل التصحيح مباشرةً والآخر بعده مباشرةً، لكلاهما لإصدار واحد من Windows. ويُعد الحصول على إصدارات متسلسلة من الملفات التنفيذية أمرًا مهمًا، لأنه حتى باستخدام الإصدارات التي تضم تحديثات قليلة يمكن أن يؤدي إلى حدوث تشويش من الاختلافات التي لا تتعلق بالتصحيح، ويتسبب في إهدار الوقت أثناء إجراء التحليل. ولقد جعلت Winbindex تحليل التصحيح أسهل من أي وقت مضى، حيث يمكنك الحصول على أي نظام ملف تنفيذي لنظام Windows بدءًا من إصدار Windows 10. ولقد قمت بتحميل كلا الملفين في Ghidra، وطبقت ملفات قاعدة بيانات البرنامج (pdb)، وقمت بتشغيل التحليل التلقائي (التحقق من مكتشف أن التعليمات القوي يعمل بشكل أفضل). وبعد ذلك، يمكن تصدير الملفات إلى تنسيق BinExport باستخدام الامتداد BinExport for Ghidra. ويمكن بعد ذلك تحميل الملفات إلى BinDiff لإنشاء فرق والبدء في تحليل الاختلافات بينها:
ملخص BinDiff يقارن بين الملفات التنفيذية ما قبل التصحيح وبعده
يعمل BinDiff عن طريق مطابقة الدوال في الملفات التنفيذية التي تتم مقارنتها باستخدام خوارزميات مختلفة. وفي هذه الحالة، قمنا بتطبيق معلومات رمز الدالة من Microsoft، بحيث يمكن مطابقة جميع الدوال بالاسم.
قائمة الدوال المتطابقة مُرتبة حسب التشابه
نلاحظ فيما سبق وجود وظيفتين فقط متشابهتين أقل من 100%. والوظيفتان اللتان تم تغييرهما بواسطة التصحيح هما
تظهر الأبحاث السابقة أن
تعالج الوظيفة إعادة تجميع حزم Ipv6 المجزأة.
اسم الدالة
يبدو أنه يشير إلى أن هذه الوظيفة تعالج استقبال حزم IPsec ESP.
قبل التعمق في التصحيح، سأتناول بإيجاز تجزئة IPv6 وIPsec. وسيساعد وجود فهم عام لبنى الحزم هذه عند محاولة تنفيذ الهندسة العكسية للتصحيح.
يمكن تقسيم حزمة IPv6 إلى أجزاء مع إرسال كل جزء كحزمة منفصلة. وبمجرد وصول جميع الأجزاء إلى الوجهة، يعيد جهاز الاستقبال تجميعها لتكوين الحزمة الأصلية.
يوضح الرسم البياني أدناه التجزئة:
رسم توضيحي لتجزئة IPv6
وفقًا لـ RFC، يتم تنفيذ التجزئة عبر عنوان ملحق يسمى عنوان الجزء، والذي له التنسيق التالي:
تنسيق عنوان تجزئة IPv6
حيث يكون حقل العنوان التالي هو نوع العنوان الموجود في البيانات المجزأة.
IPsec عبارة عن مجموعة من البروتوكولات التي يتم استخدامها معًا لإعداد اتصالات مشفرة. وغالبًا ما يتم استخدامها لإعداد الشبكات الافتراضية الخاصة (VPN). ومن الجزء الأول من تحليل التصحيح، نعلم أن الخطأ مرتبط بمعالجة حزم ESP، لذلك سنركز على بروتوكول تضمين الحمولة الأمنية المغلفة (ESP).
كما يوحي الاسم، يقوم بروتوكول ESP بتشفير (تغليف) محتويات الحزمة. وهناك وضعان: في وضع النفق، يتم تضمين نسخة من عنوان IP في الحمولة المشفرة، وفي وضع النقل حيث يتم تشفير جزء طبقة النقل فقط من الحزمة. مثل تجزئة IPv6، يتم تنفيذ ESP كعنوان ملحق. وفقًا لـ RFC، يتم تنسيق حزمة ESP على النحو التالي:
تنسيق المستوى الأعلى لحزمة ESP.
حيث يشتمل حقلا مُعرّف معلمات الأمان (SPI) ورقم التسلسل على عنوان ملحق ESP، ويتم تشفير الحقول بين بيانات الحمولة والعنوان التالي وتتضمنهما. يصف حقل العنوان التالي العنوان الموجود في بيانات الحمولة.
الآن مع وجود تمهيد لتجزئة Ipv6 وIPsec ESP، يمكننا الاستمرار في تحليل فرق التصحيح من خلال تحليل الدالتين اللتين وجدنا أنهما مصححتان
بمقارنة مخططات الدوال جنبًا إلى جنب، يمكننا ملاحظة أنه تمت إضافة كتلة رمز جديد واحد إلى الدالة بعد تطبيق التصحيح:
مقارنة جنبًا إلى جنب بين مخططات الدالة IPv6ReassembleDatagram قبل التصحيح وبعده
لنلقِ نظرة فاحصة على الكتلة:
كتلة الرموز الجديدة في الدالة المصححة
تقوم كتلة الرموز الجديدة بمقارنة رقمين صحيحين بدون إشارة (في السجلات EAX وEDX) والانتقال إلى كتلة إذا كانت إحدى القيم أقل من الأخرى. فلنلقِ نظرة على كتلة الوجهة:
يحتوي الرمز الهدف على استدعاء غير مشروط للدالة
وباستخدام لمحة الفهم هذه، يمكننا إجراء تحليل ثابت باستخدام أداة فكّ الترجمة.
نشر 0vercl0ck سابقًا منشورًاعلى مدونته يقوم فيه بتحليل الثغرات الأمنية المتعلقة بثغرة أمنية مختلفة في IPv6، وتعمق في الهندسة العكسية لملف tcpip.sys. ومن خلال هذا العمل وبعض الهندسة العكسية الإضافية، تمكنت من ملء تعريفات البنى غير الموثقة
مخرجات فك ترجمة Ipv6ReassembleDatagram
في مقتطفات الرموز أعلاه، يحيط المربع الوردي اللون بالرموز الجديدة المضافة بواسطة التصحيح.
نظرًا لأنه تمت إضافة هذا الفحص، فإننا نعلم الآن أن هناك شرطًا يسمح بذلك
بالنظر إلى مخطط الوظيفة جنبًا إلى جنب في مساحة عمل BinDiff، يمكننا تحديد بعض كتل الرموز الجديدة التي تم إدخالها في الدالة المصححة:
مقارنة جنبًا إلى جنب لمخططات الدالة IppReceiveEsp قبل التصحيح وبعده
تُظهر الصورة أدناه عملية فك الدالة
مخرجات فك ترجمة IppRessiveESP
هنا، تمت إضافة فحص جديد لفحص حقل العنوان التالي لحزمة ESP. ويحدد حقل العنوان التالي رأس حزمة ESP التي تم فك تشفيرها. وتذكر أن قيمة العنوان التالي يمكن أن تتوافق مع بروتوكول الطبقة العليا (مثل TCP أو UDP) أو عنوان الملحق (مثل عنوان التجزئة أو عنوان التوجيه). إذا كانت القيمة في
هي 0، أو 0x2B أو 0x2C،
وتعيين رمز الخطأ إلى
. تتوافق هذه القيم مع خيار قفزة بقفزة IPv6، وعنوان التوجيه لـ IPv6، وعنوان التجزئة لـ IPv6، على التوالي.
وبالرجوع إلى RFC الخاص بـ ESP، ينص على أنه "في سياق IPv6، يُنظر إلى ESP على أنه حمولة من طرف إلى طرف، وبالتالي يجب أن يظهر بعد عناوين الإضافات التي تعمل بالتدرج، والتوجيه، والتجزئة." والآن أصبحت المشكلة واضحة. إذا كان عنوان من هذه الأنواع موجودًا في حمولة ESP، فإنه ينتهك RFC للبروتوكول، وسيتم تجاهل الحزمة.
والآن وقد قمنا بتشخيص التصحيحات في وظيفتين مختلفتين، يمكننا معرفة كيفية ارتباطهما. في الوظيفة الأولى
مخرجات فك ترجمة Ipv6ReassembleDatagram
تذكّر أنه يتم حساب حجم مخزن الذاكرة المستهدف على أنه مجموع حجم عناوين الامتداد، بالإضافة إلى حجم نوان IPv6 (السطر 10 أعلاه). والآن، ارجع مرة أخرى إلى التصحيح الذي تم إدخاله (السطر 16).
والآن ارجع إلى بنية حزمة ESP:
تنسيق المستوى الأعلى لحزمة ESP
لاحظ أن حقل العنوان التالي يأتي *بعد* بيانات الحمولة. وهذا يعني أنه
السبب الأساسي الموضح لـ CVE-2022-34718
ارجع الآن إلى السطر 35 من
نحن نعلم الآن أنه يمكن تشغيل الخطأ عن طريق إرسال مخطط بيانات مجزأ IPv6 عبر حزم IPsec ESP.
السؤال التالي الذي يجب الإجابة عنه: كيف سيتمكن الهدف من فك تشفير حزم ESP؟
للإجابة على هذا السؤال، حاولت أولاً إرسال حزم إلى الهدف تحتوي على عنوان ESP مع بيانات غير مهمة وتضع نقطة توقف على الدالة المُعرضة للثغرة.
، لمعرفة ما إذا كان يمكن الوصول إلى الدالة أم لا. تم الوصول إلى نقطة الإيقاف، لكن الوظيفة الداخلية التي اعتقدت أنها قامت بفك تشفير
، قامت بإرجاع خطأ، وبالتالي لم يتم الوصول إلى الرمز المُعرض للثغرة. وقمت لاحقًا بعكس الهندسة العكسية
وهذا هو المكان الذي علمت فيه أنه من أجل فك تشفير حزمة ESP بنجاح، فإنه يجب إنشاء ارتباط أمني.
يتكون الارتباط الأمني من حالة مشتركة، بشكل أساسي مفاتيح ومعلمات التشفير التي يتم الاحتفاظ بها بين نقطتي نهاية لتأمين حركة المرور بينهما. بعبارة بسيطة، يحدد الارتباط الأمني كيفية قيام المضيف بتشفير/فك تشفير/التحقق من صحة حركة البيانات القادمة من مضيف آخر أو المتجهة إليه. ويمكن إنشاء ارتباطات أمنية عبر تبادل مفاتيح الإنترنت (IKE) أو بروتوكول IP المصادق عليه. وفي الأساس، نحتاج إلى طريقة لإنشاء ارتباط أمني مع الضحية، بحيث تعرف كيفية فك تشفير البيانات الواردة من المهاجم.
لأغراض الاختبار، بدلاً من تنفيذ IKE، قررت إنشاء ارتباط أمني للهدف يدويًا. ويمكن القيام بذلك باستخدام منصة ترشيح Windows WinAPI (WFP). ذكر منشور مدونة Numen أنه من غير الممكن استخدام WFP لإدارة المفاتيح السرية. ومع ذلك، هذا غير صحيح، ومن خلال تعديل نموذج الرموز المقدمة من Microsoft، من الممكن تعيين مفتاح متماثل يستخدمه الهدف لفك تشفير حزم ESP القادمة من عنوان IP المهاجم.
والآن بعد أن أصبح الهدف يعرف كيفية فك تشفير حركة مرور ESP منا (المهاجم)، يمكننا إنشاء حزم ESP مشفرة مشوهة باستخدام scapy. باستخدام scape، يمكننا إرسال الحزم إلى طبقة IP. عملية الاستغلال بسيطة:
CVE-2022-34718 PoC
قمت بإنشاء مجموعة من الحزم المجزأة من طلب ICMPv6 Echo. ثم يتم تشفيرها لكل جزء في طبقة ESP قبل إرسالها.
من الرسم البياني تحليل السبب الأساسي الموضح أعلاه، نعلم أن العنصر الأولي لدينا يمنحنا كتابة خارج الحدود عند
offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)
يمكن التحكم في قيمة الكتابة عبر قيمة حقل العنوان التالي. قمت بضبط هذه القيمة على السطر 36 في استغلالي أعلاه (0x41 😉).
إفساد بايت واحد فقط إلى إزاحة عشوائية من
NetIoProtocolHeader2
يتم التحكم فيه من قبل المهاجم، ومع ذلك، وفقًا لمعيار ESP RFC، يلزم وجود حشو بحيث يتم محاذاة حقل قيمة فحص التكامل (ICV) (إن وجد) على حد 4 بايت.
لأن
sizeof(Padding Length) = sizeof(Next Header) = 1,
sizeof(Payload Data) + sizeof(Padding) + 2
يجب محاذاة 4 بايت.
ولذلك:
offset = 4n - 1
حيث يمكن أن يكون n أي عدد صحيح موجب، مقيدًا بحقيقة أن بيانات الحمولة والحشو يجب أن تتناسب مع حزمة واحدة، وبالتالي فهي محدودة بواسطة MTU (حجم الإطار). وهذا يمثل مشكلة لأنه يعني أنه لا يمكن الكتابة فوق المؤشرات الكاملة. هذا أمر مقيد، ولكنه ليس بالضرورة باهظًا؛ ولا يزال بإمكاننا استبدال إزاحة العنوان في كائن أو حجم أو عداد مرجعي وما إلى ذلك. تعتمد الإمكانيات المتاحة لنا على الكائنات التي يمكن رشها في مجموعة kernel حيث يتم تخصيص
headerBuf الهدف.
مجموعة النواة المتأثرة في WinDbg
يتم تخصيص المخزن المؤقت للضحية خارج الحدود في
المجموعة. تُعد الخطوات الأولى في أبحاث تنظيف الذاكرة: فحص نوع الكائنات التي يتم تخصيصها داخل هذا المجموعة، وما تحتويه هذه الكائنات، وكيفية استخدامها، بالإضافة إلى آلية تخصيص الكائنات وتحريرها. وسيسمح لنا ذلك بفحص كيفية استخدام العناصر الأولية للكتابة للحصول على تسريب للمعلومات أو لبناء عنصر أولي أقوى. ولسنا بالضرورة مقيّدين بـ
شاهد العرض التوضيحي الذي يستغل CVE-2022-34718 "EvilESP" لـ CVE-2022-34718 ‘EvilESP’ لنظام تشغيل الحواسيب دوس (DoS) أدناه:
عندما يتم التخطيط لذلك، يبدو الخطأ بسيطًا جدًا. ومع ذلك، استغرق الأمر عدة أيام طويلة من الهندسة العكسية والتعلم عن مجموعات وبروتوكولات الشبكات المختلفة لفهم الصورة الكاملة وكتابة ثغرة يستغل نظام تشغيل الحواسيب نظام تشغيل الحواسيب دوس (DoS). وسيقول العديد من الباحثين أن تكوين الإعداد وفهم البيئة هو الجزء الأكثر استهلاكًا للوقت والممل من العملية، ولم يكن هذا استثناءً. أنا سعيد للغاية لأنني قررت تنفيذ هذا المشروع القصير؛ أنا أفهم Ipv6 وIPsec والتجزئة بشكل أفضل الآن.
