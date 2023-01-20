9 月的补丁星期二披露了
tcpip.sys 组件中存在一个高危远程漏洞，即漏洞编号 CVE-2022-34718。Microsoft 在其安全公告中指出：“未经身份验证的攻击者可向启用了 IPsec 协议的 Windows 设备发送特制的 IPv6 数据包，进而在目标设备上实现远程代码执行攻击。”
纯远程漏洞通常会引发广泛关注，但即便在补丁发布逾一个月后，除 Microsoft 官方公告外，外界仍未公开任何关于该漏洞的额外信息。对我而言，距离上一次尝试开展二进制补丁差异分析已过去许久，因此我认为这个漏洞是个绝佳的切入点，既可以借此完成根本原因分析，还能编写对应的概念验证代码，用于后续撰写博客文章。
去年 10 月 21 日，我发布了该漏洞的利用演示视频及根本原因分析报告。此后不久，Numen Cyber Labs 也发布了一篇关于该漏洞的技术博客与概念验证代码，其采用的漏洞利用方法与我在演示中使用的方案截然不同。
本文是我漏洞利用演示视频的续篇博客，文中不仅深入解析了该漏洞的逆向分析过程，还纠正了我在 Numen Cyber Labs 相关博客中发现的几处表述偏差。
下文我对 CVE-2022-34718 漏洞补丁的逆向分析、受影响的相关协议、漏洞定位方法与复现流程。我还会介绍测试环境的搭建步骤，并编写一个可触发该漏洞进而造成拒绝服务 (DoS) 的利用程序。最后，我将探讨漏洞利用基元，并阐述如何将这些基元进一步转化为远程代码执行 (RCE) 漏洞的后续操作思路。
Microsoft 的安全公告仅说明该漏洞存在于 TCP/IP 驱动程序中且需启用 IPsec 协议，未披露任何关于漏洞的具体细节。为定位该漏洞的具体成因，我们将对比补丁修复后的二进制文件与修复前的版本，并尝试借助一款名为 BinDiff 的工具提取二者间的“差异点”。
我通过 Winbindex 工具获取了同一 Windows 版本对应的两个tcpip.sys文件版本：一个是补丁发布前的版本，另一个是补丁发布后的版本。获取连续迭代的二进制文件版本这一步至关重要，因为倘若使用间隔了数次更新的版本，文件中会混入大量与该漏洞补丁无关的差异内容，进而导致漏洞分析过程耗费额外的时间成本。Winbindex 工具极大地简化了补丁分析工作，借助它，用户可获取 Windows 10 及后续版本的任意 Windows 二进制文件。我将这两个版本的文件均导入 Ghidra，加载对应的程序数据库 (PDB) 文件，并运行自动分析功能（经验证，勾选“激进指令查找”选项时分析效果最佳）。随后，通过 Ghidra 的 BinExport 扩展插件，将文件导出为 BinExport 格式。接着便可将这些文件导入 BinDiff 工具生成差异对比结果，进而开始分析二者的差异点：
BinDiff 工具生成的补丁修复前后二进制文件对比摘要
BinDiff 的工作原理是通过多种算法，对所对比二进制文件中的函数进行匹配。在本次分析场景中，我们导入了 Microsoft 官方提供的函数符号信息，因此所有函数均可通过名称实现精准匹配。
按相似度排序的匹配函数列表
从上图可以看到，只有两个函数的相似度低于 100%。经该补丁修改的两个函数分别为
一个 IPv6 数据包可被拆分为多个分片，每个分片作为独立数据包传输。当所有分片均抵达目标端后，接收方会将其重组为原始数据包。
下方图表展示了 IPv6 数据包的分片过程：
Ipv6 分片示意图
根据相 RFC 规范，分片功能通过一种名为分片首部的扩展首部实现，其格式定义如下：
IPv6 分片首部格式
其中“下一首部”字段是分片数据中存在的首部类型。
IPsec 是一组用于建立加密连接的协议，常被用于搭建虚拟专用网络 (VPN)。通过补丁分析的第一阶段内容可知，该漏洞与 ESP 数据包的处理流程相关，因此我们将重点围绕 ESP 协议展开分析。
顾名思义，ESP 协议会对数据包的内容进行加密（即封装处理）。该协议包含两种工作模式：在隧道模式下，加密载荷中会包含一份 IP 首部的副本；而在传输模式下，仅对数据包的传输层部分进行加密。与 IPv6 分片机制类似，ESP 同样以扩展首部的形式实现。根 RFC 规范，ESP 数据包的格式定义如下：
ESP 数据包的顶层格式。
其中，安全参数索引 (SPI) 与序列号字段共同构成了 ESP 扩展首部；从载荷数据字段到下一首部字段（含首尾两个字段）的内容均会被加密。下一首部字段的作用是描述载荷数据中所包含的首部类型。
在掌握了 IPv6 分片与 IPsec ESP 协议的基础知识后，我们可以继续开展补丁差异分析工作，着手研究此前发现的那两个经补丁修改的函数。
将两个函数流程图并列对比后可以发现，补丁修复后的函数中新增了一个独立的代码块：
Ipv6ReassembleDatagram 函数补丁修复前后流程图的并列对比
让我们详细了解一下该代码块：
补丁修复后函数中新增的代码块
该新增代码块的作用是对比两个无符号整数（分别存储于 EAX 和 EDX 寄存器中），若其中一个数值小于另一个，则跳转到指定代码块执行。接下来我们分析这个目标代码块：
这段目标代码中包含对该函数
基于这一初步发现，我们可在反编译器中开展静态分析工作。
0vercl0ck 此前发布过一篇博客文章，针对另一处 IPv6 漏洞开展了漏洞分析，并深入逆向剖析了 tcpip.sys 驱动文件。基于该研究成果及补充的逆向分析工作，我得以补全这些未公开文档化的
IPv6ReassembleDatagram 的反编译输出
在上述代码片段中，粉色方框圈定的部分是该补丁新增的代码内容。
正是由于新增了这一检查，我们得以确定此前存在这样一种异常场景：
在 BinDiff 分析工作区中将两个函数流程图并列查看时，我们能够识别出补丁修复后的函数中新增的若干代码块：
IppReceiveEsp 函数补丁修复前后流程图的并列对比
下图展示了函数
IppReceiveESP 的反编译输出
此处新增了一项检查逻辑，用于校验 ESP 数据包的“下一首部”字段。该字段的作用是标识 ESP 数据包解密后紧跟的首部类型。需注意的是，“下一首部”字段的取值既可以对应某类上层协议（如 TCP 或 UDP），也可以对应扩展首部（如分片首部或路由首部）。如果
中的值是 0、0x2B 或 0x2C，
则系统调用 并将错误码设置为
。这些取值分别对应 IPv6 逐跳选项首部 (Hop-by-Hop Option)、IPv6 路由首部 (Routing Header) 以及 IPv6 分片首部 (Fragment Header)。
回顾 ESP 协议的 RFC 文档，其中明确规定：“在 IPv6 场景下，ESP 被视为端到端的载荷，因此应出现在逐跳选项、路由及分片扩展首部之后。”至此问题根源已清晰。若 ESP 载荷中包含上述类型的首部，则违反了该协议的 RFC 规范，此类数据包将会被丢弃。
如今我们已分析清楚两个不同函数中补丁的修复逻辑，接下来便可梳理出这些补丁之间的关联关系。在第一个函数中
IPv6ReassembleDatagram 的反编译输出
回顾前文可知，受影响缓冲区的大小计算公式为：扩展首部的长度加上 IPv6 首部的长度（见上文第 10 行）。现在再来看新增的这处补丁逻辑（见第 16 行）。
现在回顾 ESP 数据包的结构：
ESP 数据包的顶层格式
注意，下一首部字段出现在载荷数据 (Payload Data) 之后。这意味着
CVE-2022-34718 的根本原因说明
现在回到
目前我们已明确：向目标主机发送经 IPsec ESP 封装的 IPv6 分片数据报，即可触发该漏洞。
接下来需要解答的问题是：受害主机为何能解密这些 ESP 数据包？
为验证这一点，我首先尝试向目标主机发送包含无效数据的 ESP 首部数据包，并在存在漏洞的
函数处设置断点，观察是否能执行到该函数。结果断点被触发，但我原本认为负责解密的内部函数
返回了错误，因此漏洞代码最终并未被执行到。我进一步对
函数展开逆向分析，并逐步梳理代码逻辑以定位失败的根源。正是在这一过程中我发现：要成功解密 ESP 数据包，必须先建立对应的安全联盟。
安全联盟是由两个通信端点维护的共享状态信息，核心包含加密密钥与各类安全参数，用于保障端点间数据传输的安全性。简单来说，安全联盟明确了一台主机应如何对来自/发往另一台主机的流量进行加密、解密与认证。安全联盟可通过互联网密钥交换协议 (IKE) 或认证 IP 协议建立。本质上，攻击者需找到与受害主机建立安全联盟的方法，使其能够解密攻击者发送的传入数据。
出于测试目的，我并未实现 IKE 协议，而是决定在受害主机上手动创建安全联盟。这一操作可通过 Windows Filtering Platform (WFP) WinAPI 接口完成。Numen 的博客曾声称无法通过 WFP 进行密钥管理。但该说法并不准确，通过修改 Microsoft 提供的示例代码，能够配置一个对称密钥，使受害主机可利用该密钥解密来自攻击者 IP 的 ESP 数据包。
既然受害主机已能解密来自攻击者（我方）的 ESP 流量，接下来我们便可借助 scapy 构造畸形的加密 ESP 数据包。通过 scapy，我们能够直接在 IP 层发送数据包。整个漏洞利用过程十分简单：
CVE-2022-34718 PoC
我基于 ICMPv6 回显请求报文构造出一组分片数据包，随后对每个分片单独加密并封装到 ESP 层，再将其发送出去。
从上图所示的根本原因分析示意图中可知，我们的利用原语可实现一处越界写入，其写入偏移量的计算公式为：
offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)
写入的数据值可通过“下一首部”字段的值控制。我在上述漏洞利用代码的第 36 行将该值设为 0x41（😉）。
仅向
NetIoProtocolHeader2
可由攻击者控制，但根据 ESP 协议的 RFC 标准，填充字段 (Padding) 的长度需满足以下要求：若数据包包含完整性校验值 (ICV) 字段，则 ICV 字段必须按 4 字节边界对齐。
因为
sizeof(Padding Length) = sizeof(Next Header) = 1,
sizeof(Payload Data) + sizeof(Padding) + 2
总和必须满足 4 字节对齐要求。
因此：
offset = 4n - 1
其中 n 可为任意正整数，但受限于以下条件：载荷数据与填充字段必须能完整放入单个数据包，因此其总长度会被 MTU（即帧长度）限制。这会导致一个问题：我们无法覆盖完整的指针值。尽管该限制会压缩利用空间，但并非完全阻断漏洞利用，我们仍可覆盖内核对象中某个地址的偏移量、长度值、引用计数器等字段。最终可利用的攻击路径，取决于受害主机中
headerBuff 缓冲区所在的内核内存池内，能够喷射哪些类型的对象。
WinDbg 中受影响的内核池
受害主机的越界缓冲区分配于
内存池。堆修饰研究的首要步骤为：分析该内存池中分配的对象类型、对象包含的内容、对象的使用方式，以及对象的分配/释放机制。这将帮助我们探索如何利用该写入原语实现内存信息泄露，或构建更强大的利用原语。我们的研究范围并非必须局限于
。但由于受害主机越界缓冲区的位置无法预测，且周边内存池的地址受随机化保护，因此针对其他内存池的攻击尝试难度极高。
观看下方针对 CVE-2022-34718（代号 “EvilESP”）漏洞的 DoS 利用演示：
从最终呈现的结果来看，这个漏洞的原理似乎十分简单。但实际上，我花费了数日时间进行逆向分析，同时深入研究各类网络协议栈与通信协议，才完整厘清了漏洞的来龙去脉，并编写完成对应的 DoS 漏洞利用程序。许多研究者都认为，环境的搭建配置与原理的梳理理解，是整个漏洞分析过程中最耗时、最繁琐的环节，本次研究也不例外。不过我很庆幸自己选择开展这个小型研究项目，现在我对 IPv6、IPsec 以及 IP 分片技术的理解都有了显著的加深。
若希望了解 IBM Security X-Force 如何为您提供攻击性安全服务，可通过以下链接预约免费咨询会议：IBM X-Force Scheduler。
如您正遭遇网络安全问题或安全事件，请联系 X-Force 寻求协助：美国境内热线：1-888-241-9812 | 全球热线：(+001) 312-212-8034。