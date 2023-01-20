Der Patch Tuesday im September offenbarte eine kritische Remote-Sicherheitslücke in
tcpip.sys, CVE-2022-34718. In der Warnung von Microsoft heißt es: „Ein nicht authentifizierter Angreifer könnte ein speziell gestaltetes IPv6-Paket an einen Windows-Knoten senden, auf dem IPsec aktiviert ist, wodurch die Ausbeutung einer Remotecodeausführung auf diesem Computer ermöglicht werden könnte.“
Reine Remote-Sicherheitslücken stoßen in der Regel auf großes Interesse, jedoch wurden auch mehr als einen Monat nach Veröffentlichung des Patches keine weiteren Informationen außerhalb der Sicherheitsempfehlung von Microsoft öffentlich bekannt gegeben. Aus meiner Sicht war es schon lange her, dass ich mich mit der Analyse von binären Patch-Differenzen befasst hatte, daher hielt ich dies für einen geeigneten Fehler, um eine Ursachenanalyse durchzuführen und einen Proof-of-Concept (PoC) für einen Blogbeitrag zu erstellen.
Am 21. Oktober letzten Jahres habe ich einen Exploit-Demo und eine Ursachenanalyse des Fehlers veröffentlicht. Kurz darauf veröffentlichte Numen Cyber Labs einen Blogbeitrag und einen PoC zu dieser Sicherheitslücke, wobei eine andere Ausbeutungsmethode als in meiner Demo verwendet wurde.
In diesem Blog – meinem Folgeartikel zu meinem Exploit-Video – gebe ich eine ausführliche Erklärung zum Reverse Engineering des Bugs und korrigiere einige Ungenauigkeiten, die ich im Blog von Numen Cyber Labs gefunden habe.
In den folgenden Abschnitten behandle ich das Reverse Engineering des Patches für CVE-2022-34718, die betroffenen Protokolle, die Identifizierung des Fehlers und dessen Reproduktion. Ich werde die Einrichtung einer Testumgebung beschreiben und einen Exploit schreiben, um den Fehler auszulösen und einen Denial-of-Service (DoS) zu verursachen. Abschließend werde ich mich mit Exploit-Primitiven befassen und die nächsten Schritte skizzieren, um die Primitiven in Remote Code Execution (RCE) umzuwandeln.
Die Warnung von Microsoft enthält keine spezifischen Details der Sicherheitslücke, außer dass sie im TCP/IP-Treiber enthalten ist und IPSec aktiviert werden muss. Um die genaue Ursache der Sicherheitslücke zu ermitteln, vergleichen wir die gepatchte Binärdatei mit der Binärdatei vor dem Patch und versuchen, die Unterschiede mithilfe eines Tools namens BinDiff zu extrahieren.
Ich habe Winbindex verwendet, um zwei Versionen von tcpip.sys zu erhalten: eine direkt vor dem Patch und eine direkt danach, beide für dieselbe Version von Windows. Es ist wichtig, sequenzielle Versionen der Binärdateien zu verwenden, da selbst bei Verwendung von Versionen, die nur wenige Updates auseinander liegen, durch Unterschiede, die nicht mit dem Patch zusammenhängen, Störungen auftreten können, die Sie bei Ihrer Analyse Zeit kosten. Winbindex hat die Patch-Analyse einfacher denn je gemacht, da man jede Windows-Binärdatei ab Windows 10 abrufen kann. Ich habe beide Dateien in Ghidra geladen, die Programmdatenbankdateien (pdb) angewendet und eine automatische Analyse durchgeführt (die Überprüfung mit dem aggressiven Befehlsfinder funktioniert am besten). Anschließend können die Dateien mithilfe der Erweiterung BinExport für Ghidra in das BinExport-Format exportiert werden. Die Dateien können dann in BinDiff geladen werden, um einen Diff zu erstellen und die Unterschiede zu analysieren:
BinDiff-Zusammenfassung im Vergleich der Binärdateien vor und nach dem Patch
BinDiff gleicht Funktionen in den zu vergleichenden Binärdateien mit verschiedenen Algorithmen ab. In diesem Fall haben wir Informationen zu Funktionssymbolen von Microsoft angewendet, sodass alle Funktionen ihrem Namen nach zugeordnet werden können.
Liste der übereinstimmenden Funktionen, sortiert nach Ähnlichkeit
Oben sehen wir, dass es nur zwei Funktionen gibt, die eine Ähnlichkeit von weniger als 100 % aufweisen. Die beiden Funktionen, die durch den Patch geändert wurden, sind
Frühere Forschungen zeigen, dass
Der Name der Funktion
scheint darauf hinzudeuten, dass diese Funktion den Empfang von IPsec-Paketen ESP verarbeitet.
Bevor ich mich näher mit dem Patch befasse, werde ich kurz auf die IPv6-Fragmentierung und IPsec eingehen. Ein grundlegendes Verständnis dieser Paketstrukturen ist hilfreich beim Reverse Engineering des Patches.
Ein IPv6-Paket kann in Fragmente unterteilt werden, wobei jedes Fragment als separates Paket gesendet wird. Sobald alle Fragmente am Zielort angekommen sind, setzt der Empfänger sie wieder zum ursprünglichen Paket zusammen.
Das folgende Diagramm veranschaulicht die Fragmentierung:
Illustration der Ipv6-Fragmentierung
Laut RFC wird die Fragmentierung über einen Erweiterungsheader namens Fragment-Header implementiert, der folgendes Format aufweist:
IPv6-Fragment-Header-Format
Das Feld „Next Header“ gibt den Typ des Headers an, der in den fragmentierten Daten enthalten ist.
IPsec ist eine Gruppe von Protokollen, die gemeinsam zur Einrichtung verschlüsselter Verbindungen verwendet werden. Sie werden häufig zur Einrichtung von virtuellen privaten Netzwerken (VPNs) verwendet. Aus dem ersten Teil der Patch-Analyse wissen wir, dass der Fehler mit der Verarbeitung von ESP-Paketen zusammenhängt, daher werden wir uns auf das ESP-Protokoll (Encapsulating Security Payload) konzentrieren.
Wie der Name schon sagt, verschlüsselt (verkapselt) das ESP-Protokoll den Inhalt eines Datenpakets. Es gibt zwei Modi: im Tunnelmodus ist eine Kopie des IP-Headers in der verschlüsselten Nutzlast enthalten, und im Transportmodus wird nur der Teil der Transportschicht des Pakets verschlüsselt. Ähnlich wie die IPv6-Fragmentierung wird ESP als Erweiterungsheader implementiert. Laut RFC ist ein ESP-Paket wie folgt formatiert:
Top-Level-Format eines ESP-Pakets.
Dabei bilden die Felder Security Parameters Index (SPI) und Sequence Number den ESP-Erweiterungsheader, und die Felder zwischen und einschließlich der Payload Data und Next Header sind verschlüsselt. Das Next Header-Feld beschreibt den in Payload Data enthaltenen Header.
Nachdem wir nun eine Einführung in die IPv6-Fragmentierung und IPsec ESP erhalten haben, können wir die Patch-Diff-Analyse fortsetzen, indem wir die beiden Funktionen analysieren, die unserer Meinung nach gepatcht wurden
Wenn wir die Funktionsdiagramme nebeneinander vergleichen, können wir sehen, dass ein einzelner neuer Codeblock in die gepatchte Funktion eingefügt wurde:
Direkter Vergleich der Funktionsdiagramme vor und nach dem Patch von IPv6ReassembleDatagram
Schauen wir uns den Block genauer an:
Neuer Codeblock in der gepatchten Funktion
Der neue Codeblock vergleicht zwei vorzeichenlose Ganzzahlen (in den Registern EAX und EDX) und springt zu einem Block, wenn ein Wert kleiner als der andere ist. Sehen wir uns diesen Zielblock an:
Der Zielcode enthält einen bedingungslosen Aufruf der Funktion
Mit dieser Erkenntnis können wir statische Analysen in einem Decompiler durchführen.
0vercl0ck veröffentlichte zuvor einen Blogbeitrag, in dem er eine Schwachstellenanalyse zu einer anderen IPv6-Sicherheitslücke durchführte und sich eingehend mit dem Reverse Engineering von tcpip.sys befasste. Aus dieser Arbeit und einigen weiteren Reverse-Engineering-Maßnahmen konnte ich die Strukturdefinitionen für die undokumentierten Elemente ergänzen.
Dekompilierungsausgabe von Ipv6ReassembleDatagram
Im obigen Code-Snippet umgibt das rosa Feld den neuen Code, den der Patch hinzugefügt hat.
Da diese Überprüfung hinzugefügt wurde, wissen wir nun, dass es eine Bedingung gab, unter der
Wenn wir das Funktionsdiagramm nebeneinander im BinDiff-Arbeitsbereich betrachten, können wir einige neue Codeblöcke identifizieren, die in die gepatchte Funktion eingeführt wurden:
Direkter Vergleich der Funktionsdiagramme vor und nach dem Patch von IppReceiveESP
Das Bild unten zeigt die Dekompilierung der Funktion
Dekompilationsausgabe von IppReceiveESP
Hier wurde eine neue Überprüfung hinzugefügt, um das Feld „Next Header“ des ESP-Pakets zu untersuchen. Das Feld „Next Header“ identifiziert den Header des entschlüsselten ESP-Pakets. Bitte beachten Sie, dass ein Next-Header-Wert einem Protokoll einer höheren Schicht (wie TCP oder UDP) oder einem Erweiterungsheader (wie einem Fragmentierungsheader oder einem Routing-Header) entsprechen kann. Wenn der Wert in
0, 0x2B oder 0x2C ist, wird
aufgerufen und der Fehlercode auf
gesetzt. Diese Werte entsprechen jeweils der IPv6-Hop-by-Hop-Option, dem Routing-Header für IPv6 und dem Fragment-Header für IPv6.
Bezugnehmend auf den ESP RFC heißt es: „Im IPv6-Kontext wird ESP als End-to-End-Nutzlast betrachtet und sollte daher nach den Hop-by-Hop-, Routing- und Fragmentierungserweiterungs-Headern erscheinen.“ Jetzt wird das Problem klar. Befindet sich ein solcher Header in einer ESP-Nutzlast, verstößt er gegen die RFC des Protokolls und das Paket wird verworfen.
Nachdem wir die Patches in zwei verschiedenen Funktionen diagnostiziert haben, können wir nun herausfinden, wie sie zusammenhängen. In der ersten Funktion
Dekompilierungsausgabe von Ipv6ReassembleDatagram
Bitte beachten Sie, dass die Größe des Opferpuffers als Größe der Erweiterungsheader zuzüglich der Größe eines IPv6-Headers berechnet wird (Zeile 10 oben). Sehen Sie sich nun den eingefügten Patch an (Zeile 16).
Sehen wir uns nun noch einmal die Struktur eines ESP-Pakets an:
Top-Level-Format eines ESP-Pakets
Beachten Sie, dass das Feld „Next Header“ *nach* Payload Data steht. Das bedeutet, dass
Illustrierte Ursache von CVE-2022-34718
Gehen Sie nun zurück zu Zeile 35 von
Wir wissen nun, dass der Fehler durch das Senden eines fragmentierten IPv6-Datagramms über IPsec-ESP-Pakete ausgelöst werden kann.
Die nächste zu beantwortende Frage lautet: Wie kann das Opfer die ESP-Pakete entschlüsseln?
Um diese Frage zu beantworten, habe ich zunächst versucht, Pakete mit einem ESP-Header mit Junk-Daten an ein Opfer zu senden und einen Breakpoint auf die anfällige Funktion
zu setzen, um zu sehen, ob die Funktion erreicht werden kann. Der Breakpoint wurde erreicht, aber die interne Funktion, von der ich annahm, dass sie die Entschlüsselung
durchführt, gab einen Fehler zurück, sodass der anfällige Code nie erreicht wurde. Ich führte ein weiteres Reverse Engineering von
durch und arbeitete mich vor, um den Fehlerpunkt zu finden. Hier habe ich gelernt, dass zur erfolgreichen Entschlüsselung eines ESP-Pakets eine Sicherheitsassoziation hergestellt werden muss.
Eine Sicherheitsassoziation besteht aus einem gemeinsamen Zustand, hauptsächlich kryptographischen Schlüsseln und Parametern, der zwischen zwei Endgeräten verwaltet wird, um den Datenverkehr zwischen ihnen zu sichern. Vereinfacht ausgedrückt definiert eine Sicherheitsassoziation, wie ein Host den von einem anderen Host kommenden/zu diesem kommenden Datenverkehr verschlüsselt/entschlüsselt/authentifiziert. Sicherheitsassoziationen können über den Internet Key Exchange (IKE) oder das Authenticated IP Protocol hergestellt werden. Im Wesentlichen benötigen wir eine Möglichkeit, eine Sicherheitsverbindung zum Opfer herzustellen, damit dieses weiß, wie es die eingehenden Daten des Angreifers entschlüsseln kann.
Anstatt IKE zu Testzwecken zu implementieren, habe ich mich entschieden, manuell eine Sicherheitszuordnung auf dem Opfer zu erstellen. Dies kann mithilfe der Windows Filtering Platform WinAPI (WFP) erfolgen. Im Blogbeitrag von Numen heißt es, dass es nicht möglich ist, WFP für die Schlüsselverwaltung zu verwenden. Das ist jedoch nicht korrekt. Durch Modifizierung des von Microsoft bereitgestellten Beispielcodes ist es möglich, einen symmetrischen Schlüssel festzulegen, mit dem das Opfer ESP-Pakete entschlüsseln kann, die von der Angreifer-IP-Adresse stammen.
Jetzt, da das Opfer weiß, wie es ESP-Datenverkehr von uns (dem Angreifer) entschlüsseln kann, können wir mit Scapy fehlerhaft verschlüsselte ESP-Pakete erstellen. Mit Scapy können wir Pakete auf der IP-Schicht senden. Der Ausbeutungsprozess ist einfach:
CVE-2022-34718 PoC
Ich erstelle eine Reihe fragmentierter Pakete aus einer ICMPv6 Echo-Anfrage. Anschließend werden die einzelnen Fragmente vor dem Senden in einer ESP-Schicht verschlüsselt.
Aus dem oben abgebildeten Ursache-Analyse-Diagramm wissen wir, dass unser Primitiv einen Schreibfehler außerhalb des zulässigen Bereichs verursacht.
offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)
Der Wert des Schreibvorgangs kann über den Wert des Feldes „Next Header“ gesteuert werden. Ich habe diesen Wert in Zeile 36 in meinem Exploit oben gesetzt (0x41 😉).
Die Beschädigung eines einzigen Bytes an einer zufälligen Stelle des
NetIoProtocolHeader2
wird vom Angreifer kontrolliert, jedoch ist gemäß dem ESP-RFC eine Auffüllung erforderlich, sodass das Feld „Integrity Check Value“ (ICV) (falls vorhanden) an einer 4-Byte-Grenze ausgerichtet ist.
Weil
sizeof(Padding Length) = sizeof(Next Header) = 1,
sizeof(Payload Data) + sizeof(Padding) + 2
muss 4-Byte-ausgerichtet sein.
Und deshalb:
Offset = 4n - 1
Dabei kann n eine beliebige positive ganze Zahl sein, wobei die Nutzdaten und die Auffüllung in ein einzelnes Paket passen müssen und daher durch die MTU (Rahmengröße) begrenzt sind. Dies ist problematisch, da es bedeutet, dass vollständige Zeiger nicht überschrieben werden können. Dies ist zwar einschränkend, aber nicht unbedingt hinderlich; wir können weiterhin den Offset einer Adresse in einem Objekt, einer Größe, einem Referenzzähler usw. überschreiben. Die uns zur Verfügung stehenden Möglichkeiten hängen davon ab, welche Objekte in den Kernel-Pool gestreut werden können, dem der
Opfer-HeaderBuff zugewiesen ist.
Der betroffene Kernel-Pool in WinDbg
Der Puffer für Opfer außerhalb der Grenzen wird im Pool
zugewiesen. Die ersten Schritte in der Heap-Grooming-Forschung sind: Untersuchen Sie die Art der in diesem Pool zugewiesenen Objekte, was sie enthalten, wie sie verwendet werden und wie die Objekte zugewiesen/freigegeben werden. Auf diese Weise können wir untersuchen, wie die Schreibprimitive verwendet werden kann, um ein Leck zu erhalten oder eine stärkere Primitive zu erstellen. Wir sind nicht unbedingt beschränkt auf
. Da jedoch die Position des Opfer-Buffs außerhalb der Grenzen nicht vorhergesagt werden kann und die Adresse der umliegenden Pools zufällig ist, erscheint es schwierig, andere Pools anzuvisieren.
Sehen Sie sich unten die Demo zu CVE-2022-34718 „EvilESP“ für DoS an:
So dargestellt, erscheint der Fehler recht einfach. Allerdings waren mehrere lange Tage des Reverse Engineering und des Lernens über verschiedene Netzwerk-Stacks und Protokolle nötig, um das Gesamtbild zu verstehen und einen DoS-Exploit zu schreiben. Viele Forscher werden sagen, dass die Konfiguration des Systems und das Verständnis der Umgebung der zeitaufwändigste und mühsamste Teil des Prozesses sind, und dies war keine Ausnahme. Ich bin sehr froh, dass ich mich für dieses kleine Projekt entschieden habe; ich verstehe IPv6, IPsec und Fragmentierung jetzt viel besser.
