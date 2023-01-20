Der Patch Tuesday im September offenbarte eine kritische Remote-Sicherheitslücke in tcpip.sys , CVE-2022-34718. In der Warnung von Microsoft heißt es: „Ein nicht authentifizierter Angreifer könnte ein speziell gestaltetes IPv6-Paket an einen Windows-Knoten senden, auf dem IPsec aktiviert ist, wodurch die Ausbeutung einer Remotecodeausführung auf diesem Computer ermöglicht werden könnte.“

Reine Remote-Sicherheitslücken stoßen in der Regel auf großes Interesse, jedoch wurden auch mehr als einen Monat nach Veröffentlichung des Patches keine weiteren Informationen außerhalb der Sicherheitsempfehlung von Microsoft öffentlich bekannt gegeben. Aus meiner Sicht war es schon lange her, dass ich mich mit der Analyse von binären Patch-Differenzen befasst hatte, daher hielt ich dies für einen geeigneten Fehler, um eine Ursachenanalyse durchzuführen und einen Proof-of-Concept (PoC) für einen Blogbeitrag zu erstellen.

Am 21. Oktober letzten Jahres habe ich einen Exploit-Demo und eine Ursachenanalyse des Fehlers veröffentlicht. Kurz darauf veröffentlichte Numen Cyber Labs einen Blogbeitrag und einen PoC zu dieser Sicherheitslücke, wobei eine andere Ausbeutungsmethode als in meiner Demo verwendet wurde.

In diesem Blog – meinem Folgeartikel zu meinem Exploit-Video – gebe ich eine ausführliche Erklärung zum Reverse Engineering des Bugs und korrigiere einige Ungenauigkeiten, die ich im Blog von Numen Cyber Labs gefunden habe.

In den folgenden Abschnitten behandle ich das Reverse Engineering des Patches für CVE-2022-34718, die betroffenen Protokolle, die Identifizierung des Fehlers und dessen Reproduktion. Ich werde die Einrichtung einer Testumgebung beschreiben und einen Exploit schreiben, um den Fehler auszulösen und einen Denial-of-Service (DoS) zu verursachen. Abschließend werde ich mich mit Exploit-Primitiven befassen und die nächsten Schritte skizzieren, um die Primitiven in Remote Code Execution (RCE) umzuwandeln.