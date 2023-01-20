El martes de parches de septiembre reveló una vulnerabilidad remota crítica en
tcpip.sys, CVE-2022-34718. El aviso de Microsoft dice: "Un atacante no autenticado podría enviar un paquete IPv6 especialmente diseñado a un nodo de Windows donde esté habilitado IPsec, lo que podría permitir una explotación de ejecución remota de código en esa máquina".
Las vulnerabilidades remotas puras suelen despertar mucho interés, pero incluso más de un mes después del parche, no se había publicado información adicional aparte del aviso de Microsoft. Por mi parte, había pasado mucho tiempo desde que intenté hacer un análisis de diferencias de parches binarios, así que pensé que sería un buen error para hacer un análisis de causa raíz y crear una prueba de concepto (PoC) para una entrada de blog.
El 21 de octubre del año pasado, publiqué una demo de exploit y un análisis de causa raíz del error. Poco después, Numen Cyber Labs publicó una entradade blog y una PoC sobre la vulnerabilidad, usando un método de explotación diferente al que utilicé en mi demo.
En este blog, mi artículo de seguimiento de mi vídeo sobre el exploit, incluyo una explicación detallada de la ingeniería inversa del error y corrijo algunas imprecisiones que encontré en el blog de Numen Cyber Labs.
En las siguientes secciones, explico la ingeniería inversa del parche del CVE-2022-34718, los protocolos afectados, la identificación del error y su reproducción. Voy a esbozar cómo configurar un entorno de pruebas y escribir un exploit para activar el error y causar una denegación de servicio (DoS). Por último, analizaré las primitivas del exploit y describiré los próximos pasos para convertir las primitivas en ejecución remota de código (RCE).
El aviso de Microsoft no contiene ningún detalle específico de la vulnerabilidad, excepto que está contenida en el controlador TCP/IP y requiere que IPsec esté habilitado. Para identificar la causa específica de la vulnerabilidad, compararemos el binario parcheado con el binario anterior al parche e intentaremos extraer la "diff" (erencia) utilizando una herramienta llamada BinDiff.
Utilicé Winbindex para obtener dos versiones de tcpip.sys: uno justo antes del parche y otro justo después, ambos para la misma versión de Windows. Es importante obtener versiones secuenciales de los binarios, ya que incluso el uso de versiones separadas por algunas actualizaciones puede introducir ruido de diferencias que no están relacionadas con el parche y hacer que pierda tiempo mientras realiza su análisis. Winbindex ha facilitado más que nunca el análisis de parches, ya que puede obtener cualquier binario de Windows a partir de Windows 10. He cargado ambos archivos en Ghidra, he aplicado los archivos de la base de datos de programas (pdb) y he ejecutado el análisis automático (la comprobación del buscador de instrucciones agresivas funciona mejor). Posteriormente, los archivos se pueden exportar a un formato BinExport utilizando la extensión BinExport para Ghidra. A continuación, los archivos se pueden cargar en BinDiff para crear una diferencia y empezar a analizar sus diferencias:
Resumen de BinDiff en el que se comparan los binarios anteriores y posteriores al parche
BinDiff funciona haciendo coincidir funciones en los binarios que se comparan utilizando varios algoritmos. En este caso, hemos aplicado información de símbolos de función de Microsoft, así que todas las funciones pueden emparejarse por nombre.
Lista de funciones coincidentes ordenadas por similitud
Arriba vemos que solo hay dos funciones que tienen una similitud inferior al 100 %. Las dos funciones que fueron modificadas por el parche son
Investigacionesprevias muestran que
la función gestiona el reensamblado de paquetes fragmentados de Ipv6.
El nombre de la función
parece indicar que esta función gestiona la recepción de paquetes de IPsec ESP.
Antes de profundizar en el parche, hablaré brevemente sobre la fragmentación de IPv6 e IPsec. Tener una comprensión general de estas estructuras de paquetes ayudará cuando se intente aplicar ingeniería inversa al parche.
Un paquete IPv6 puede dividirse en fragmentos y cada fragmento se envía como un paquete separado. Una vez que todos los fragmentos llegan al destino, el receptor los vuelve a ensamblar para formar el paquete original.
El siguiente diagrama ilustra la fragmentación:
Ilustración de la fragmentación de Ipv6
Según el RFC, la fragmentación se implementa mediante un encabezado de extensión llamado encabezado Fragment, que tiene el siguiente formato:
Formato de encabezado de fragmento de IPv6
Donde el campo Siguiente encabezado es el tipo de encabezado presente en los datos fragmentados.
IPsec es un grupo de protocolos que se utilizan conjuntamente para establecer conexiones cifradas. A menudo se utiliza para configurar redes privadas virtuales (VPN). Desde la primera parte del análisis de parches, sabemos que el error está relacionado con el procesamiento de paquetes ESP, por lo que nos centraremos en el protocolo de carga útil de seguridad encapsulada (ESP).
Como su nombre indica, el protocolo ESP cifra (encapsula) el contenido de un paquete. Existen dos modos: en el modo túnel , la carga útil cifrada contiene una copia de la cabecera IP, y en el modo transporte , en el que sólo se cifra la parte del paquete correspondiente a la capa de transporte. Al igual que la fragmentación de IPv6, ESP se implementa como un encabezado de extensión. Según el RFC, un paquete ESP se formatea de la siguiente manera:
Formato de nivel superior de un paquete ESP.
Donde los campos de índice de parámetros de seguridad (SPI) y número de secuencia comprenden el encabezado de extensión ESP, y los campos entre los datos de carga útil y el encabezado siguiente están cifrados. El campo Siguiente encabezado describe el encabezado que contiene los datos de carga útil.
Ahora, con una introducción a la fragmentación de IPv6 y al ESP de IPsec, podemos continuar con el análisis de las diferencias de parches analizando las dos funciones que descubrimos que estaban parcheadas
Al comparar los gráficos de funciones uno al lado del otro, podemos ver que se ha introducido un solo bloque de código nuevo en la función parcheada:
Comparación en paralelo de los gráficos de funciones anteriores y posteriores al parche de Ipv6ReassembleDatagram
Echemos un vistazo más de cerca al bloque:
Nuevo bloque de código en la función parcheada
El nuevo bloque de código está haciendo una comparación de dos enteros sin signo (en los registros EAX y EDX) y saltando a un bloque si un valor es menor que el otro. Echemos un vistazo a ese bloque de destino:
El código destino tiene una llamada incondicional a la función
Con este conocimiento, podemos realizar análisis estáticos en un descompilador.
0vercl0ck publicó anteriormente una entrada de blog haciendo análisis de vulnerabilidades sobre otra vulnerabilidad Ipv6 y profundizó en la ingeniería inversa de tcpip.sys. A partir de este trabajo y algo de ingeniería inversa adicional, pude completar las definiciones de estructura para los objetos
Salida de descompilación de Ipv6ReassembleDatagram
En el fragmento de código anterior, el cuadro rosa rodea el nuevo código añadido por el parche.
Debido a que se añadió esta comprobación, ahora sabemos que había una condición que permite
Si observamos el gráfico de funciones en paralelo en el espacio de trabajo de BinDiff, podemos identificar algunos bloques de código nuevos introducidos en la función parcheada:
Comparación en paralelo de los gráficos de funciones anteriores y posteriores al parche de IppReceiveEsp
La siguiente imagen muestra la descompilación de la función
Salida de descompilación de IppReceiveESP
Aquí, se ha añadido una nueva comprobación para examinar el campo Next Header del paquete ESP. El campo Next Header identifica la cabecera del paquete ESP descifrado. Recuerde que un valor de Next Header puede corresponder a un protocolo de capa superior (como TCP o UDP) o a una cabecera de extensión (como la cabecera de fragmentación o la cabecera de enrutamiento). Si el valor en
es 0, 0x2B o 0x2C, se llama a
y el código de error se establece en
. Estos valores corresponden a la opción Hop-by-Hop de IPv6, a la cabecera de enrutamiento para Ipv6 y a la cabecera de fragmentación para IPv6, respectivamente.
Volviendo al RFC de ESP, se afirma: “En el contexto de IPv6, ESP se considera una carga útil de extremo a extremo y, por lo tanto, debería aparecer después de los encabezados de extensión de fragmentación, enrutamiento y salto a salto”. Ahora el problema queda claro. Si una carga de ESP contiene un encabezado de este tipo, infringe la RFC del protocolo y el paquete se descartará.
Ahora que hemos diagnosticado los parches en dos funciones diferentes, podemos averiguar cómo están relacionados. En la primera función
Salida de descompilación de Ipv6ReassembleDatagram
Recuerde que el tamaño del búfer de la víctima se calcula como el tamaño de las cabeceras de extensión más el tamaño de una cabecera Ipv6 (línea 10, arriba). Ahora vuelva a consultar el parche que se insertó (línea 16).
Ahora consulte la estructura de un paquete ESP:
Formato de nivel superior de un paquete ESP
Observe que el campo Siguiente encabezado aparece *después* de los datos de carga útil. Esto significa que
Causa raíz ilustrada de CVE-2022-34718
Ahora volvamos a la línea 35 de
Ahora sabemos que el error puede desencadenarse enviando un datagrama fragmentado IPv6 a través de paquetes IPsec ESP.
La siguiente pregunta a responder: ¿cómo podrá la víctima descifrar los paquetes ESP?
Para responder a esta pregunta, primero intenté enviar paquetes a una víctima que contenían un encabezado ESP con datos basura y puse un punto de interrupción en la función vulnerable
, para ver si se podía acceder a la función. Se alcanzó el punto de interrupción, pero la función interna que yo creía que realizaba el descifrado,
, devolvió un error, por lo que nunca se llegó al código vulnerable. Seguí realizando ingeniería inversa en
y trabajé para encontrar el punto de fallo. Ahí fue donde aprendí que, para descifrar con éxito un paquete ESP, es necesario establecer una asociación de seguridad.
Una asociación de seguridad consiste en un estado compartido, principalmente claves criptográficas y parámetros, mantenido entre dos endpoint para asegurar el tráfico entre ellos. En términos simples, una asociación de seguridad define cómo un host cifrará/descifrará/autenticará el tráfico procedente/destinado a otro host. Las asociaciones de seguridad se pueden establecer a través del intercambio de claves de Internet (IKE) o del protocolo IP autenticado. En esencia, necesitamos una forma de establecer una asociación de seguridad con la víctima, para que sepa cómo descifrar los datos entrantes del atacante.
A efectos de prueba, en lugar de implementar IKE, decidí crear manualmente una asociación de seguridad en la víctima. Esto se puede hacer utilizando la plataforma de filtrado de Windows WinAPI (WFP). La entrada del blog de Numen afirmaba que no es posible usar WFP para la gestión de claves secretas. Sin embargo, eso es incorrecto y modificando el código de muestra proporcionado por Microsoft, es posible establecer una clave simétrica que la víctima utilizará para descifrar los paquetes ESP provenientes de la IP del atacante.
Ahora que la víctima sabe cómo descifrar el tráfico ESP de nosotros (el atacante), podemos construir paquetes ESP cifrados y malformados usando scapy. Usando scapy podemos enviar paquetes en la capa IP. El proceso de explotación es sencillo:
PoC CVE-2022-34718
Creo un conjunto de paquetes fragmentados a partir de una solicitud ICMPv6 Echo. Luego, para cada fragmento, se cifran en una capa ESP antes de enviarlos.
A partir del diagrama de análisis de causa raíz que se muestra arriba, sabemos que nuestra primitiva nos da una escritura fuera de límites en
offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)
El valor de la escritura se puede controlar a través del valor del campo Siguiente encabezado. Establecí este valor en la línea 36 en mi exploit anterior (0x41 😉).
Corromper solo un byte en un desplazamiento aleatorio del
NetIoProtocolHeader2
está controlado por el atacante, sin embargo, de acuerdo con el ESP RFC, se requiere relleno de modo que el campo Integrity Check Value (ICV) (si está presente) esté alineado en un límite de 4 bytes.
Porque
sizeof(Padding Length) = sizeof(Next Header) = 1,
sizeof(Payload Data) + sizeof(Padding) + 2
debe estar alineado en 4 bytes.
Y por tanto:
offset = 4n - 1
Donde n puede ser cualquier número entero positivo, limitado por el hecho de que los datos de la carga útil y el relleno deben caber en un solo paquete y, por tanto, está limitado por la MTU (tamaño de la trama). Esto es problemático porque significa que los punteros completos no se pueden sobrescribir. Esto es limitante, pero no necesariamente prohibitivo; aún podemos sobrescribir el desplazamiento de una dirección en un objeto, un tamaño, un contador de referencia, etc. Las posibilidades de las que disponemos dependen de los objetos que se puedan rociar en el pool del kernel donde se asigna el
headerBuff de la víctima.
El pool de kernel afectado en WinDbg
El búfer fuera de los límites de la víctima se asigna en el grupo
. Los primeros pasos en la investigación de heap grooming son: examinar el tipo de objetos asignados en este grupo, qué contienen, cómo se utilizan y cómo se asignan/liberan los objetos. Esto nos permitirá examinar cómo se puede utilizar la primitiva de escritura para obtener una fuga o crear una primitiva más sólida. No estamos necesariamente limitados a
. Sin embargo, dado que la posición del búfer fuera de límites de la víctima no puede predecirse y la dirección de los pools circundantes es aleatoria, apuntar a otros pools parece complicado.
Vea la demostración que explota CVE-2022-34718 ‘EvilESP’ para DoS (denegación de servicio) a continuación:
Planteándolo así, el error parece bastante simple. Sin embargo, hicieron falta varios días largos de ingeniería inversa y de aprendizaje sobre diferentes pilas y protocolos de red para entender el panorama completo y escribir un exploit DoS. Muchos investigadores dirán que establecer la configuración y entender el entorno es la parte más laboriosa y tediosa del proceso, y esta no fue una excepción. Estoy muy contento de haberme decidido a hacer este breve proyecto; ahora entiendo mucho mejor Ipv6, IPsec y la fragmentación.
