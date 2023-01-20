Segurança

Dissecação e exploração da vulnerabilidade RCE TCP/IP “EvilESP”

A atualização de segurança de setembro revelou uma vulnerabilidade remota crítica no tcpip.sys. CVE-2022-34718. O aviso da Microsoft diz: "Um invasor não autenticado pode enviar um pacote IPv6 especialmente elaborado para um nó do Windows em que o IPsec está ativado, o que poderia permitir uma invasão de execução de código remota naquela máquina."

Vulnerabilidades puramente remotas geralmente geram muito interesse, mas mesmo mais de um mês após a correção, nenhuma informação adicional além do aviso da Microsoft foi publicada. Da minha parte, já fazia muito tempo que eu não tentava fazer uma análise de diferença de patches binários, então pensei que este seria um bom bug para fazer uma análise de causa raiz e elaborar uma prova de conceito (POC) para uma postagem no blog.

Em 21 de outubro do ano passado, publiquei uma demonstração de exploração e uma análise da causa raiz do bug. Pouco tempo depois, a Numen Cyber Labs publicou um post no blog e uma prova de conceito sobre a vulnerabilidade, usando um método de invasão diferente do que eu usei na minha demonstração.

Neste blog (meu artigo complementar ao vídeo de exploração) incluo uma explicação detalhada da engenharia reversa do bug e corrijo algumas imprecisões que encontrei no blog da Numen Cyber Labs.

Nas seções a seguir, abordarei a engenharia reversa do patch para o CVE-2022-34718, os protocolos afetados, a identificação do bug e sua reprodução. Vou descrever a configuração de um ambiente de teste e escrever uma exploração para acionar o bug e causar uma denial-of-service (DoS). Por fim, analisarei as primitivas de exploração e descreverei as próximas etapas para transformar essas primitivas em remote code execution (RCE).

Comparação de patches

O aviso da Microsoft não contém detalhes específicos sobre a vulnerabilidade, exceto que ela está presente no driver TCP/IP e exige que o IPsec esteja ativado. Para identificar a causa específica da vulnerabilidade, vamos comparar o binário corrigido com o binário pré-patch e tentar extrair a "diff" usando uma ferramenta chamada BinDiff.

Utilizei o Winbindex para obter duas versões do tcpip.sys: um logo antes do patch e outro logo depois, ambos para a mesma versão do Windows. É importante obter versões sequenciais dos binários, pois usar versões com algumas atualizações de diferença pode introduzir ruído devido a diferenças não relacionadas à correção, fazendo com que você perca tempo durante a análise. O Winbindex tornou a análise de patches mais fácil do que nunca, pois você pode obter qualquer binário do Windows a partir do Windows 10. Carreguei os dois arquivos no Ghidra, apliquei os arquivos no Program Database (pdb) e executei a análise automática (marcar a opção "aggressive instruction finder" funciona melhor). Posteriormente, os arquivos podem ser exportados para um formato BinExport usando a extensão BinExport for Ghidra. Os arquivos podem então ser carregados no BinDiff para criar um diff e começar a analisar suas diferenças:

Visualização comparativa de dois arquivos de sistema usando o BinDiff, mostrando 100% de correspondência entre as funções de tcpip_old.sys e tcpip_new.sys. Inclui um diagrama circular, pontuação de similaridade de 0,99 e um gráfico de barras indicando uma função de similaridade quase idêntica. São mostrados detalhes do arquivo, como caminhos, hashes, arquitetura (x86-64) e contagem de funções (5487).

Resumo do BinDiff comparando os binários pré e pós-patch

O BinDiff funciona combinando funções nos binários que estão sendo comparados usando vários algoritmos. Nesse caso, aplicamos informações de símbolos de função da Microsoft, para que todas as funções possam ser correspondidas por nome.

Comparação detalhada de funções correspondentes entre dois arquivos de sistema, mostrando 100% similaridade em blocos básicos e saltos e 158,2% de diferença nas instruções. Inclui diagramas circulares, uma pontuação de similaridade de 0,99 e um gráfico de barras. Abaixo, uma tabela lista 5.487 funções correspondentes com colunas para similaridade, confiança, nomes primários e secundários, endereços, tipo, blocos básicos e saltos, destacadas em verde para indicar alta similaridade.

Lista de funções correspondentes classificadas por similaridade

Acima, podemos ver que existem apenas duas funções que possuem uma similaridade inferior a 100%. As duas funções que foram alteradas pelo patch sãoIppReceiveEsp  e Ipv6pReassembleDatagram .

Análise da causa raiz da vulnerabilidade

Pesquisas anteriores mostram que Ipv6pReassembleDatagram a função lida com a remontagem de pacotes fragmentados de IPv6.

O nome da função IppReceiveEsp parece indicar que essa função lida com o recebimento de pacotes IPsec ESP.

Antes de mergulhar no patch, falarei brevemente sobre a fragmentação de IPv6 e IPsec. Ter uma compreensão geral dessas estruturas de pacotes ajudará na tentativa de fazer a engenharia reversa do patch.

Fragmentação de IPv6:

Um pacote IPv6 pode ser dividido em fragmentos, com cada fragmento enviado como pacote separado. Quando todos os fragmentos chegam ao destino, o receptor os remonta para formar o pacote original.

O diagrama abaixo ilustra a fragmentação:

Diagrama que ilustra a fragmentação de pacotes IPv6. O pacote original contém um cabeçalho IPv6, um cabeçalho de extensão opcional, um cabeçalho TCP e uma carga útil TCP. Ele é dividido em três pacotes de fragmentos, cada um com seu próprio cabeçalho IPv6, cabeçalho de extensão opcional, cabeçalho de fragmento e fragmentos rotulados como #1, #2 e #3.

Ilustração de fragmentação de IPv6

De acordo com o RFC, a fragmentação é implementada por meio de um cabeçalho de extensão chamado cabeçalho de fragmento, que tem o seguinte formato:

Diagrama de um formato de cabeçalho de fragmento IPv6 mostrando as posições de bits de 0 a 31 distribuídas em duas linhas. Os campos incluem Next Header, Reserved, Fragment Offset, dois campos de bit único rotulados Res e M e um grande campo Identification abrangendo a segunda linha.

Formato do cabeçalho de fragmento IPv6

Onde o campo "Next Header" é o tipo de cabeçalho presente nos dados fragmentados.

IPsec (ESP):

O IPsec é um grupo de protocolos usados em conjunto para configurar conexões criptografadas. É frequentemente usado para configurar Virtual Private Networks (VPNs). Desde a primeira parte da análise de patches, sabemos que o bug está relacionado ao processamento de pacotes ESP, então vamos nos concentrar no protocolo Encapsulated Security Payload (ESP).

Como o nome sugere, o protocolo ESP criptografa (encapsula) o conteúdo de um pacote. Há dois modos: no modo túnel , uma cópia do cabeçalho IP está contida na carga útil criptografada, e no modo transporte , somente a parte da camada de transporte do pacote é criptografada. Assim como a fragmentação de IPv6, o ESP é implementado como um cabeçalho de extensão. De acordo com a RFC, um pacote ESP é formatado da seguinte maneira:

Formato de alto nível de um pacote ESP.

Onde os campos Security Parameters Index (SPI) e Sequence Number compõem o cabeçalho de extensão ESP, e os campos entre, e incluindo, Payload Data e Next Header são criptografados. O campo Next Header descreve o cabeçalho contido no Payload Data.

Agora, com uma introdução sobre fragmentação de IPv6 e IPsec ESP, podemos continuar a análise de diferenças de patches analisando as duas funções que descobrimos que foram corrigidas

Ipv6pReassembleDatagram

Comparando os gráficos da função lado a lado, podemos ver que um único novo bloco de código foi introduzido na função corrigida:

Comparação lado a lado de dois fluxogramas hierárquicos rotulados como "primário" à esquerda em azul e "secundário" à direita em vermelho. Ambos os diagramas consistem em nós retangulares interconectados em verde e amarelo, representando estruturas semelhantes. O diagrama secundário apresenta um nó circulado em rosa próximo ao topo.

Comparação lado a lado dos gráficos de função pré e pós-patch do Ipv6ReassembleDatagram

Vamos analisar o bloco mais de perto:

Trecho de código de assembly para a função Ipv6pReassembleDatagram. Mostra endereços de memória à esquerda e instruções à direita: MOVZX EAX, word ptr [RBX + 0xbc], CMP EAX, EDX, and JBE LAB_1c0199c07. O bloco é destacado com setas pontilhadas vermelhas e verdes apontando para baixo.

Novo bloco de código na função corrigida

O novo bloco de código faz uma comparação de dois inteiros sem sinal (nos registradores EAX e EDX) e salta para um bloco caso um valor seja menor que o outro. Vamos dar uma olhada nesse bloco de destino:

Bloco de código de assembly para a função Ipv6pReassembleDatagram, exibido com endereços de memória à esquerda e instruções à direita. As instruções incluem LEA RCX, [R15 + 0x4f50], MOV R8B, R13B, MOV RDX, RBX, CALL IppDeleteFromReassemblySet, and JMP LAB_1c019a006. O bloco está destacado em verde com setas apontando para ele em várias direções.

O código de destino tem uma chamada incondicional para a funçãoIppDeleteFromReassemblySet . Supondo que seja o nome da função, esse bloco parece ser para tratamento de erros. Podemos deduzir que o novo código adicionado é algum tipo de verificação de limites, e houve uma linha "goto error " inserida no código, caso a verificação falhe.

Com esse insight, podemos realizar análise estática em um descompilador.

O 0vercl0ck publicou um post de blog fazendo uma análise de vulnerabilidade em uma vulnerabilidade diferente de IPv6 e se aprofundou na engenharia reversa de tcpip.sys. A partir desse trabalho e de alguma engenharia reversa adicional, consegui preencher as definições de estrutura para os objetos não documentadosPacket_t  e Reassembly_t  , bem como identificar algumas atribuições de variáveis locais importantes.

Captura de tela do código-fonte C++ para a função Ipv6pReassembleDatagram. O código inclui declarações de variáveis, verificações condicionais e chamadas de função, como NetioAllocateAndReferenceNetBufferAndNetBufferList, IppDeleteFromReassemblySet, and IppCopyPacket. Uma linha destacada em rosa mostra a condição “if (Reassembly->nextheader_offset == HeaderBufferLen)” dentro de um bloco if.

Saída de descompilação de Ipv6ReassembleDatagram

No trecho de código acima, a caixa rosa envolve o novo código adicionado pelo patch. Reassembly->nextheader_offset  contém o deslocamento de bytes do next_header field  no cabeçalho de fragmentação do IPv6. A verificação de limites compara next_header_offset  ao comprimento do buffer do cabeçalho. Na linha 29, HeaderBufferLen  é usado para alocar um buffer e, na linha 35, Reassembly->nextheder_offset > é usado para indexar e copiar para o buffer alocado.

Como essa verificação foi adicionada, agora sabemos que havia uma condição que permite nextheader_offset  exceder o comprimento do buffer do cabeçalho. Passaremos para a segunda função corrigida para buscar mais respostas.

IppReceiveEsp

Olhando para o gráfico da função lado a lado na área de trabalho do BinDiff, podemos identificar alguns novos blocos de código introduzidos na função corrigida:

Comparação lado a lado de dois gráficos de fluxo de controle para a função IppReceiveEsp. O diagrama da esquerda está rotulado como “primário” em azul, e o diagrama da direita está rotulado como “secundário” em vermelho. Ambos os diagramas contêm blocos interconectados de instruções de assembly em bege e verde. O diagrama secundário apresenta uma seção destacada com um oval rosa ao redor de dois blocos centrais.

Comparação lado a lado dos gráficos de função pré e pós-patch de IppReceiveEsp

A imagem abaixo mostra a descompilação da função IppReceiveEsp , com uma caixa rosa ao redor do novo código adicionado pelo patch.

Captura de tela do código-fonte C++ para a função IppReceiveEsp. O código inclui declarações de variáveis, declarações condicionais e chamadas de função. Uma seção destacada em rosa mostra um bloco condicional que verifica os valores de Packet->NextHeader e chama IppDiscardReceivedPackets, seguidos pela configuração de STATUS_DATA_NOT_ACCEPTED.

Saída da descompilação do IppReceiveESP

Aqui, uma nova verificação foi adicionada para examinar o campo Next Header do pacote ESP. O campo Next Header identifica o cabeçalho do pacote ESP descriptografado. Lembre-se de que um valor de Next Header pode corresponder a um protocolo de camada superior (como TCP ou UDP) ou a um cabeçalho de extensão (como cabeçalho de fragmentação ou cabeçalho de roteamento). Se o valor em NextHeader é 0, 0x2B ou 0x2C, IppDiscardReceivedPackets é chamado e o código de erro é definido para STATUS_DATA_NOT_ACCEPTED . Esses valores correspondem, respectivamente, à opção Hop-by-Hop do IPv6, ao Routing Header para IPv6 e ao Fragment Header para IPv6.

Retornando a RFC do ESP, afirma-se: “No contexto do IPv6, o ESP é visto como uma carga útil de ponta a ponta e, portanto, deve aparecer após os cabeçalhos de extensão de hop-by-hop, roteamento e fragmentação.” Agora, o problema fica claro. Se um cabeçalho desses tipos estiver contido em uma carga útil de ESP, isso violará a RFC do protocolo, e o pacote será descartado.

Juntando tudo

Agora que diagnosticamos os patches em duas funções diferentes, podemos descobrir como eles estão relacionados. Na primeira função Ipv6ReassembleDatagram , determinamos que a correção era para um estouro de buffer.

Captura de tela do código-fonte C++ para a função Ipv6pReassembleDatagram. O código inclui declarações de variáveis, verificações condicionais e chamadas de função. Uma seção destacada em rosa mostra a condição “if (Reassembly->nextheader_offset == HeaderBufferLen)” dentro de um bloco if, seguida pela lógica para alocar e processar buffers de rede.

Saída de descompilação de Ipv6ReassembleDatagram

Lembre-se de que o tamanho do buffer da vítima é calculado como o tamanho dos cabeçalhos de extensão mais o tamanho de um cabeçalho IPv6 (linha 10 acima). Agora consulte o patch que foi inserido (linha 16). Reassembly->nextheader_offset  refere-se ao deslocamento do valor do Next Header do buffer que contém os dados do fragmento.

Agora, voltemos à estrutura de um pacote ESP:

Diagrama de um formato de pacote IPsec ESP mostrando as posições dos bits de 0 a 31 em várias linhas. Os campos incluem o Security Parameters Index (SPI), Sequence Number, Payload Data de comprimento variável, Padding (0–255 bytes), Pad Length, Next Header, and Integrity Check Value (ICV). Marcadores verticais indicam cobertura de integridade e confidencialidade

Formato de alto nível de um pacote ESP

Observe que o campo Next Header vem *depois* do Payload Data. Isso significa que Reassembly->nextheader_offset  incluirá o tamanho dos dados de carga útil, que é controlada pelo tamanho dos dados, e pode ser muito maior do que o tamanho dos cabeçalhos de extensão. O local esperado para o campo Next Header é dentro de um cabeçalho de extensão ou cabeçalho IPv6. Em um pacote ESP, ele não está dentro do cabeçalho, pois na verdade está contido na parte criptografada do pacote.

Diagrama explicando a causa raiz CVE-2022-34718. Mostra a estrutura de pacotes IPv6 com cabeçalhos, carga útil, padding e ICV. Destaca o tamanho da carga útil controlada pelo invasor e a incompatibilidade entre a posição esperada e a posição real do próximo cabeçalho.

Ilustração da causa raiz de CVE-2022-34718

Agora, volte à linha 35 de Ipv6ReassembleDatagram , é aqui que ocorre uma gravação de 1 byte fora dos limites (o tamanho e o valor do NextHeader ).

Reproduzindo o bug

Agora sabemos que o bug pode ser acionado enviando um datagrama fragmentado IPv6 por meio de pacotes IPsec ESP.

A próxima pergunta a ser respondida é: como a vítima conseguirá descriptografar os pacotes ESP?

Para responder a essa pergunta, primeiro tentei enviar pacotes para uma vítima contendo um cabeçalho ESP com dados inválidos e coloquei um ponto de interrupção na função vulnerável IppReceiveEsp para ver se ela poderia ser alcançada. O ponto de interrupção foi atingido, mas a função interna que eu achava que fazia a descriptografia IppReceiveEspNbl , retornou um erro, portanto, o código vulnerável nunca foi alcançado. Apliquei engenharia reversa IppReceiveEspNbl e trabalhei para encontrar o ponto de falha. Foi aqui que aprendi que, para descriptografar com êxito um pacote ESP, é necessário estabelecer uma associação de segurança.

Uma associação de segurança consiste em um estado compartilhado, principalmente chaves e parâmetros criptográficos, mantido entre dois endpoints para proteger o tráfego entre eles. Em termos simples, uma associação de segurança define como um host irá criptografar/descriptografar/autenticar o tráfego proveniente de/para outro host. As associações de segurança podem ser estabelecidas por meio de Internet Key Exchange (IKE) ou de protocolo IP autenticado. Basicamente, precisamos de uma maneira de estabelecer uma associação de segurança com a vítima, para que ela saiba como descriptografar os dados recebidos do invasor.

Para fins de teste, em vez de implementar o IKE, decidi criar manualmente uma associação de segurança na vítima. Isso pode ser feito usando Windows Filtering Platform WinAPI (WFP). A postagem do blog da Numen afirmou que não é possível usar o WFP para o gerenciamento de chaves secretas. No entanto, isso está incorreto e, ao modificar o código de amostra fornecido pela Microsoft, é possível definir uma chave simétrica que a vítima usará para descriptografar pacotes ESP provenientes do IP do invasor.

Invasão

Agora que a vítima sabe como descriptografar o tráfego ESP vindo de nós (o atacante), podemos construir pacotes ESP criptografados malformados utilizando o scapy. Usando o scapy, podemos enviar pacotes na camada IP. O processo de invasão é simples:

Captura de tela de código Python definindo uma função chamada exploit. O código constrói um pacote IPv6 com um endereço de origem, calcula data_size usando max(frag_size*2, 0x200), cria uma solicitação de ICMPv6 echo, adiciona um cabeçalho de fragmento IPv6 e fragmenta o pacote. Um loop modifica o campo Next Header para 0x41 (escrita por overflow), criptografa o pacote e o envia.

CVE-2022-34718 PoC

Eu crio um conjunto de pacotes fragmentados a partir de uma solicitação ICMPv6 Echo. Em seguida, para cada fragmento, eles são criptografados em uma camada ESP antes de serem enviados.

Primitiva

A partir do diagrama de análise da causa raiz acima, sabemos que nossa primitiva nos dá uma escrita fora dos limites em

offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)

O valor da gravação é controlável por meio do valor do campo Next Header. Eu defini esse valor na linha 36 na minha exploração acima (0x41 😉).

Denial of Service (DoS)

Corromper apenas um byte em um deslocamento aleatório do pool NetIoProtocolHeader2  (onde o buffer de destino está alocado), geralmente não causa uma falha imediata. Podemos causar a falha do alvo de forma confiável inserindo cabeçalhos adicionais na mensagem fragmentada a ser analisada ou enviando pings repetidamente ao alvo após corromper uma grande parte do pool.

Limitações a serem superadas para RCE

offset é controlado por invasores, no entanto, de acordo com o RFC do ESP, o padding é necessário de modo que o campo Integrity Check Value (ICV) (se presente) esteja alinhado em um limite de 4 bytes.

Porque

sizeof(Padding Length) = sizeof(Next Header) = 1,

 

sizeof(Payload Data) + sizeof(Padding) + 2

deve estar alinhado em 4 bytes.

E, portanto:

offset = 4n - 1

Onde n pode ser qualquer número inteiro positivo, restrito ao fato de que os dados de carga útil e o padding devem caber em um único pacote e, portanto, são limitados pelo MTU (tamanho do frame). Isso é problemático porque significa que ponteiros completos não podem ser sobrescritos. Isso é limitante, mas não necessariamente proibitivo; ainda podemos sobrescrever o deslocamento de um endereço em um objeto, um tamanho, um contador de referência etc. As possibilidades disponíveis dependem de quais objetos podem ser disseminados no pool do kernel onde o headerBuff da vítima está alocado.

Pesquisa sobre Heap Grooming

Visão aproximada do código

O pool do kernel afetado no WinDbg

O buffer de vítima fora dos limites é alocado no pool NetIoProtocolHeader2 Os primeiros passos na pesquisa de heap grooming são: examinar o tipo de objetos alocados nesse pool, o que eles contêm, como são usados e como são alocados/liberados. Isso nos permitirá examinar como a primitiva de escrita pode ser usada para obter um vazamento ou construir uma primitiva mais robusta. Não estamos necessariamente restritos a NetIoProtocolHeader2 . No entanto, como a posição da vítima fora dos limites do buffer não pode ser prevista, e o endereço dos pools ao redor é aleatório, atingir outros pools parece desafiador.

Demonstração

Assista à demonstração de exploração do CVE-2022-34718 “EvilESP” para DoS abaixo:

Conclusões

Quando definido dessa forma, o bug parece bem simples. No entanto, foram necessários vários dias de engenharia reversa e aprendizado sobre vários stacks e protocolos de rede para entender o quadro completo e escrever uma exploração de DoS. Muitos pesquisadores dirão que configurar e definir o ambiente é a parte mais demorada e tediosa do processo, e este caso não foi exceção. Estou muito feliz por ter decidido fazer esse pequeno projeto; agora entendo muito melhor o IPv6, o IPsec e a fragmentação.

Para saber como o IBM Security X-Force pode ajudar com serviços de segurança ofensivos, agende uma reunião de consulta sem custo aqui: IBM X-Force Scheduler.

Se você estiver enfrentando problemas de cibersegurança ou algum incidente, entre em contato com a X-Force para obter ajuda: Linha direta dos EUA 1-888-241-9812 | Linha direta global (+001) 312-212-8034.

