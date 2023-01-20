A atualização de segurança de setembro revelou uma vulnerabilidade remota crítica no
tcpip.sys. CVE-2022-34718. O aviso da Microsoft diz: "Um invasor não autenticado pode enviar um pacote IPv6 especialmente elaborado para um nó do Windows em que o IPsec está ativado, o que poderia permitir uma invasão de execução de código remota naquela máquina."
Vulnerabilidades puramente remotas geralmente geram muito interesse, mas mesmo mais de um mês após a correção, nenhuma informação adicional além do aviso da Microsoft foi publicada. Da minha parte, já fazia muito tempo que eu não tentava fazer uma análise de diferença de patches binários, então pensei que este seria um bom bug para fazer uma análise de causa raiz e elaborar uma prova de conceito (POC) para uma postagem no blog.
Em 21 de outubro do ano passado, publiquei uma demonstração de exploração e uma análise da causa raiz do bug. Pouco tempo depois, a Numen Cyber Labs publicou um post no blog e uma prova de conceito sobre a vulnerabilidade, usando um método de invasão diferente do que eu usei na minha demonstração.
Neste blog (meu artigo complementar ao vídeo de exploração) incluo uma explicação detalhada da engenharia reversa do bug e corrijo algumas imprecisões que encontrei no blog da Numen Cyber Labs.
Nas seções a seguir, abordarei a engenharia reversa do patch para o CVE-2022-34718, os protocolos afetados, a identificação do bug e sua reprodução. Vou descrever a configuração de um ambiente de teste e escrever uma exploração para acionar o bug e causar uma denial-of-service (DoS). Por fim, analisarei as primitivas de exploração e descreverei as próximas etapas para transformar essas primitivas em remote code execution (RCE).
O aviso da Microsoft não contém detalhes específicos sobre a vulnerabilidade, exceto que ela está presente no driver TCP/IP e exige que o IPsec esteja ativado. Para identificar a causa específica da vulnerabilidade, vamos comparar o binário corrigido com o binário pré-patch e tentar extrair a "diff" usando uma ferramenta chamada BinDiff.
Utilizei o Winbindex para obter duas versões do tcpip.sys: um logo antes do patch e outro logo depois, ambos para a mesma versão do Windows. É importante obter versões sequenciais dos binários, pois usar versões com algumas atualizações de diferença pode introduzir ruído devido a diferenças não relacionadas à correção, fazendo com que você perca tempo durante a análise. O Winbindex tornou a análise de patches mais fácil do que nunca, pois você pode obter qualquer binário do Windows a partir do Windows 10. Carreguei os dois arquivos no Ghidra, apliquei os arquivos no Program Database (pdb) e executei a análise automática (marcar a opção "aggressive instruction finder" funciona melhor). Posteriormente, os arquivos podem ser exportados para um formato BinExport usando a extensão BinExport for Ghidra. Os arquivos podem então ser carregados no BinDiff para criar um diff e começar a analisar suas diferenças:
Resumo do BinDiff comparando os binários pré e pós-patch
O BinDiff funciona combinando funções nos binários que estão sendo comparados usando vários algoritmos. Nesse caso, aplicamos informações de símbolos de função da Microsoft, para que todas as funções possam ser correspondidas por nome.
Lista de funções correspondentes classificadas por similaridade
Acima, podemos ver que existem apenas duas funções que possuem uma similaridade inferior a 100%. As duas funções que foram alteradas pelo patch são
Pesquisas anteriores mostram que
a função lida com a remontagem de pacotes fragmentados de IPv6.
O nome da função
parece indicar que essa função lida com o recebimento de pacotes IPsec ESP.
Antes de mergulhar no patch, falarei brevemente sobre a fragmentação de IPv6 e IPsec. Ter uma compreensão geral dessas estruturas de pacotes ajudará na tentativa de fazer a engenharia reversa do patch.
Um pacote IPv6 pode ser dividido em fragmentos, com cada fragmento enviado como pacote separado. Quando todos os fragmentos chegam ao destino, o receptor os remonta para formar o pacote original.
O diagrama abaixo ilustra a fragmentação:
Ilustração de fragmentação de IPv6
De acordo com o RFC, a fragmentação é implementada por meio de um cabeçalho de extensão chamado cabeçalho de fragmento, que tem o seguinte formato:
Formato do cabeçalho de fragmento IPv6
Onde o campo "Next Header" é o tipo de cabeçalho presente nos dados fragmentados.
O IPsec é um grupo de protocolos usados em conjunto para configurar conexões criptografadas. É frequentemente usado para configurar Virtual Private Networks (VPNs). Desde a primeira parte da análise de patches, sabemos que o bug está relacionado ao processamento de pacotes ESP, então vamos nos concentrar no protocolo Encapsulated Security Payload (ESP).
Como o nome sugere, o protocolo ESP criptografa (encapsula) o conteúdo de um pacote. Há dois modos: no modo túnel , uma cópia do cabeçalho IP está contida na carga útil criptografada, e no modo transporte , somente a parte da camada de transporte do pacote é criptografada. Assim como a fragmentação de IPv6, o ESP é implementado como um cabeçalho de extensão. De acordo com a RFC, um pacote ESP é formatado da seguinte maneira:
Formato de alto nível de um pacote ESP.
Onde os campos Security Parameters Index (SPI) e Sequence Number compõem o cabeçalho de extensão ESP, e os campos entre, e incluindo, Payload Data e Next Header são criptografados. O campo Next Header descreve o cabeçalho contido no Payload Data.
Agora, com uma introdução sobre fragmentação de IPv6 e IPsec ESP, podemos continuar a análise de diferenças de patches analisando as duas funções que descobrimos que foram corrigidas
Comparando os gráficos da função lado a lado, podemos ver que um único novo bloco de código foi introduzido na função corrigida:
Comparação lado a lado dos gráficos de função pré e pós-patch do Ipv6ReassembleDatagram
Vamos analisar o bloco mais de perto:
Novo bloco de código na função corrigida
O novo bloco de código faz uma comparação de dois inteiros sem sinal (nos registradores EAX e EDX) e salta para um bloco caso um valor seja menor que o outro. Vamos dar uma olhada nesse bloco de destino:
O código de destino tem uma chamada incondicional para a função
Com esse insight, podemos realizar análise estática em um descompilador.
O 0vercl0ck publicou um post de blog fazendo uma análise de vulnerabilidade em uma vulnerabilidade diferente de IPv6 e se aprofundou na engenharia reversa de tcpip.sys. A partir desse trabalho e de alguma engenharia reversa adicional, consegui preencher as definições de estrutura para os objetos não documentados
Saída de descompilação de Ipv6ReassembleDatagram
No trecho de código acima, a caixa rosa envolve o novo código adicionado pelo patch.
Como essa verificação foi adicionada, agora sabemos que havia uma condição que permite
Olhando para o gráfico da função lado a lado na área de trabalho do BinDiff, podemos identificar alguns novos blocos de código introduzidos na função corrigida:
Comparação lado a lado dos gráficos de função pré e pós-patch de IppReceiveEsp
A imagem abaixo mostra a descompilação da função
Saída da descompilação do IppReceiveESP
Aqui, uma nova verificação foi adicionada para examinar o campo Next Header do pacote ESP. O campo Next Header identifica o cabeçalho do pacote ESP descriptografado. Lembre-se de que um valor de Next Header pode corresponder a um protocolo de camada superior (como TCP ou UDP) ou a um cabeçalho de extensão (como cabeçalho de fragmentação ou cabeçalho de roteamento). Se o valor em
. Esses valores correspondem, respectivamente, à opção Hop-by-Hop do IPv6, ao Routing Header para IPv6 e ao Fragment Header para IPv6.
Retornando a RFC do ESP, afirma-se: “No contexto do IPv6, o ESP é visto como uma carga útil de ponta a ponta e, portanto, deve aparecer após os cabeçalhos de extensão de hop-by-hop, roteamento e fragmentação.” Agora, o problema fica claro. Se um cabeçalho desses tipos estiver contido em uma carga útil de ESP, isso violará a RFC do protocolo, e o pacote será descartado.
Agora que diagnosticamos os patches em duas funções diferentes, podemos descobrir como eles estão relacionados. Na primeira função
Saída de descompilação de Ipv6ReassembleDatagram
Lembre-se de que o tamanho do buffer da vítima é calculado como o tamanho dos cabeçalhos de extensão mais o tamanho de um cabeçalho IPv6 (linha 10 acima). Agora consulte o patch que foi inserido (linha 16).
Agora, voltemos à estrutura de um pacote ESP:
Formato de alto nível de um pacote ESP
Observe que o campo Next Header vem *depois* do Payload Data. Isso significa que
Ilustração da causa raiz de CVE-2022-34718
Agora, volte à linha 35 de
Agora sabemos que o bug pode ser acionado enviando um datagrama fragmentado IPv6 por meio de pacotes IPsec ESP.
A próxima pergunta a ser respondida é: como a vítima conseguirá descriptografar os pacotes ESP?
Para responder a essa pergunta, primeiro tentei enviar pacotes para uma vítima contendo um cabeçalho ESP com dados inválidos e coloquei um ponto de interrupção na função vulnerável
para ver se ela poderia ser alcançada. O ponto de interrupção foi atingido, mas a função interna que eu achava que fazia a descriptografia
Apliquei engenharia reversa
e trabalhei para encontrar o ponto de falha. Foi aqui que aprendi que, para descriptografar com êxito um pacote ESP, é necessário estabelecer uma associação de segurança.
Uma associação de segurança consiste em um estado compartilhado, principalmente chaves e parâmetros criptográficos, mantido entre dois endpoints para proteger o tráfego entre eles. Em termos simples, uma associação de segurança define como um host irá criptografar/descriptografar/autenticar o tráfego proveniente de/para outro host. As associações de segurança podem ser estabelecidas por meio de Internet Key Exchange (IKE) ou de protocolo IP autenticado. Basicamente, precisamos de uma maneira de estabelecer uma associação de segurança com a vítima, para que ela saiba como descriptografar os dados recebidos do invasor.
Para fins de teste, em vez de implementar o IKE, decidi criar manualmente uma associação de segurança na vítima. Isso pode ser feito usando Windows Filtering Platform WinAPI (WFP). A postagem do blog da Numen afirmou que não é possível usar o WFP para o gerenciamento de chaves secretas. No entanto, isso está incorreto e, ao modificar o código de amostra fornecido pela Microsoft, é possível definir uma chave simétrica que a vítima usará para descriptografar pacotes ESP provenientes do IP do invasor.
Agora que a vítima sabe como descriptografar o tráfego ESP vindo de nós (o atacante), podemos construir pacotes ESP criptografados malformados utilizando o scapy. Usando o scapy, podemos enviar pacotes na camada IP. O processo de invasão é simples:
CVE-2022-34718 PoC
Eu crio um conjunto de pacotes fragmentados a partir de uma solicitação ICMPv6 Echo. Em seguida, para cada fragmento, eles são criptografados em uma camada ESP antes de serem enviados.
A partir do diagrama de análise da causa raiz acima, sabemos que nossa primitiva nos dá uma escrita fora dos limites em
offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)
O valor da gravação é controlável por meio do valor do campo Next Header. Eu defini esse valor na linha 36 na minha exploração acima (0x41 😉).
Corromper apenas um byte em um deslocamento aleatório do pool
NetIoProtocolHeader2
é controlado por invasores, no entanto, de acordo com o RFC do ESP, o padding é necessário de modo que o campo Integrity Check Value (ICV) (se presente) esteja alinhado em um limite de 4 bytes.
Porque
sizeof(Padding Length) = sizeof(Next Header) = 1,
sizeof(Payload Data) + sizeof(Padding) + 2
deve estar alinhado em 4 bytes.
E, portanto:
offset = 4n - 1
Onde n pode ser qualquer número inteiro positivo, restrito ao fato de que os dados de carga útil e o padding devem caber em um único pacote e, portanto, são limitados pelo MTU (tamanho do frame). Isso é problemático porque significa que ponteiros completos não podem ser sobrescritos. Isso é limitante, mas não necessariamente proibitivo; ainda podemos sobrescrever o deslocamento de um endereço em um objeto, um tamanho, um contador de referência etc. As possibilidades disponíveis dependem de quais objetos podem ser disseminados no pool do kernel onde o
headerBuff da vítima está alocado.
O pool do kernel afetado no WinDbg
O buffer de vítima fora dos limites é alocado no pool
. No entanto, como a posição da vítima fora dos limites do buffer não pode ser prevista, e o endereço dos pools ao redor é aleatório, atingir outros pools parece desafiador.
Assista à demonstração de exploração do CVE-2022-34718 “EvilESP” para DoS abaixo:
Quando definido dessa forma, o bug parece bem simples. No entanto, foram necessários vários dias de engenharia reversa e aprendizado sobre vários stacks e protocolos de rede para entender o quadro completo e escrever uma exploração de DoS. Muitos pesquisadores dirão que configurar e definir o ambiente é a parte mais demorada e tediosa do processo, e este caso não foi exceção. Estou muito feliz por ter decidido fazer esse pequeno projeto; agora entendo muito melhor o IPv6, o IPsec e a fragmentação.
