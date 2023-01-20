A atualização de segurança de setembro revelou uma vulnerabilidade remota crítica no tcpip.sys . CVE-2022-34718. O aviso da Microsoft diz: "Um invasor não autenticado pode enviar um pacote IPv6 especialmente elaborado para um nó do Windows em que o IPsec está ativado, o que poderia permitir uma invasão de execução de código remota naquela máquina."

Vulnerabilidades puramente remotas geralmente geram muito interesse, mas mesmo mais de um mês após a correção, nenhuma informação adicional além do aviso da Microsoft foi publicada. Da minha parte, já fazia muito tempo que eu não tentava fazer uma análise de diferença de patches binários, então pensei que este seria um bom bug para fazer uma análise de causa raiz e elaborar uma prova de conceito (POC) para uma postagem no blog.

Em 21 de outubro do ano passado, publiquei uma demonstração de exploração e uma análise da causa raiz do bug. Pouco tempo depois, a Numen Cyber Labs publicou um post no blog e uma prova de conceito sobre a vulnerabilidade, usando um método de invasão diferente do que eu usei na minha demonstração.

Neste blog (meu artigo complementar ao vídeo de exploração) incluo uma explicação detalhada da engenharia reversa do bug e corrijo algumas imprecisões que encontrei no blog da Numen Cyber Labs.

Nas seções a seguir, abordarei a engenharia reversa do patch para o CVE-2022-34718, os protocolos afetados, a identificação do bug e sua reprodução. Vou descrever a configuração de um ambiente de teste e escrever uma exploração para acionar o bug e causar uma denial-of-service (DoS). Por fim, analisarei as primitivas de exploração e descreverei as próximas etapas para transformar essas primitivas em remote code execution (RCE).