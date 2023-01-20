Le Patch Tuesday de septembre a dévoilé une vulnérabilité critique à distance dans
tcpip.sys, CVE-2022-34718. L’avertissement de Microsoft indique : « Un attaquant non authentifié pourrait envoyer un paquet IPv6 spécialement conçu vers un nœud Windows où IPsec est activé, ce qui pourrait permettre une exploitation d’exécution de code à distance sur cette machine. »
Les vulnérabilités purement distantes suscitent généralement beaucoup d’intérêt, mais même plus d’un mois après l’application du correctif, aucune information supplémentaire n’a été publiée en dehors de l’avertissement de Microsoft. De mon côté, cela faisait longtemps que je n’avais pas tenté d’effectuer une analyse des différences de correctifs binaires. Je me suis donc dit que ce serait un bon bug pour effectuer une analyse des causes racines et créer une preuve de concept (PoC) pour un article de blog.
Le 21 octobre de l’année dernière, j’ai publié une démo d’exploitation et une analyse de cause racine du bug. Peu de temps après cet article de blog, une PoC a été publiée par Numen Cyber Labs sur la vulnérabilité, utilisant une méthode d’exploitation différente de celle que j’avais utilisée dans ma démo.
Dans cet article de blog, mon article de suivi à ma vidéo de l’exploitation, j’inclus une explication détaillée de la rétro-ingénierie du bug et je corrige certaines inexactitudes que j’ai trouvées dans le blog de Numen Cyber Labs.
Dans les sections suivantes, j’aborde l’étape de rétro-ingénierie du correctif de la vulnérabilité CVE-2022-34718, les protocoles concernés, l’identification du bug et sa reproduction. Je vais présenter la configuration d’un environnement de test et écrire une exploitation pour déclencher le bug et provoquer un déni de service (DoS). Enfin, je vais examiner les exploitations primitives et décrire les étapes suivantes pour transformer les primitives en exécution de code à distance (RCE).
L’avertissement de Microsoft ne contient pas de détails spécifiques sur la vulnérabilité, si ce n’est qu’elle est contenue dans le pilote TCP/IP et qu’elle nécessite l’activation d’IPsec. Afin d’identifier la cause spécifique de la vulnérabilité, nous allons comparer le binaire corrigé au binaire avant l’application du correctif et essayer d’extraire le « diff » (la différence) à l’aide d’un outil appelé BinDiff.
J’ai utilisé Winbindex pour obtenir deux versions de tcpip.sys : une version juste avant l’application du correctif et une autre version juste après, les deux pour la même version de Windows. Il est important d’obtenir des versions séquentielles des binaires, car même l’utilisation de versions distantes de quelques mises à jour peut introduire du bruit provenant de différences qui ne sont pas liées au correctif et vous faire perdre du temps dans votre analyse. Winbindex facilite grandement l’analyse des correctifs, car vous pouvez obtenir n’importe quel binaire Windows dès Windows 10. J’ai chargé les deux fichiers dans Ghidra, j’ai appliqué les fichiers de la base de données de programme (pdb) et j’ai lancé l’analyse automatique (la vérification de l’outil de recherche d’instructions agressives est la plus efficace). Ensuite, les fichiers peuvent être exportés au format BinExport en utilisant l’extension BinExport for Ghidra. Les fichiers peuvent alors être chargés dans BinDiff pour créer un diff et commencer à analyser leurs différences :
Récapitulatif BinDiff comparant les binaires avant et après l’application d’un correctif
BinDiff fonctionne en faisant correspondre les fonctions des binaires comparés à l’aide de divers algorithmes. Ici, nous avons appliqué les informations sur les symboles de fonction de Microsoft, de sorte que toutes les fonctions puissent être identifiées par leur nom.
Liste des fonctions correspondantes triées par similarité
Ci-dessus, nous voyons qu’il n’y a que deux fonctions dont la similitude est inférieure à 100 %. Les deux fonctions modifiées par le correctif sont
Des recherches antérieures montrent que la fonction
gère le réassemblage des paquets fragmentés Ipv6.
Le nom de la fonction
semble indiquer que cette fonction gère la réception des paquets ESP IPsec.
Avant de passer plus en détail au correctif, je couvrirai brièvement la fragmentation Ipv6 et IPsec. Une compréhension générale de ces structures de paquets vous aidera lors des tentatives de rétro-ingénierie du correctif.
Un paquet IPv6 peut être divisé en fragments, chaque fragment étant envoyé comme un paquet séparé. Une fois que tous les fragments atteignent leur destination, le destinataire les réassemble pour former le paquet d’origine.
Le schéma ci-dessous illustre la fragmentation :
Illustration de la fragmentation Ipv6
Selon les RFC, la fragmentation est implémentée via un en-tête d’extension appelé en-tête de fragment, au format suivant :
Format d’en-tête de fragment Ipv6
Le champ Next Header correspond au type d’en-tête présent dans les données fragmentées.
IPsec est un groupe de protocoles utilisés ensemble pour configurer des connexions chiffrées. Il est souvent utilisé pour configurer des réseaux privés virtuels (VPN). Dès la première partie de l’analyse du correctif, nous savons que le bug est lié au traitement des paquets ESP. Nous allons donc nous concentrer sur le protocole ESP (Encapsulating Security Payload).
Comme son nom l’indique, le protocole ESP chiffre (encapsule) le contenu d’un paquet. Il existe deux modes : en mode tunnel, une copie de l’en-tête IP est contenue dans la charge utile chiffrée. En mode transport, seule la partie de la couche de transport du paquet est chiffrée. Comme la fragmentation IPv6, le protocole ESP est implémenté en tant qu’en-tête d’extension. Selon les RFC, un paquet ESP est formaté comme suit :
Format de haut niveau d’un paquet ESP.
Les champs SPI (Security Parameters Index) et de numéro de séquence constituent l’en-tête d’extension ESP, et les champs entre Payload Data et Next Header, tous deux compris, sont chiffrés. Le champ Next Header décrit l’en-tête contenu dans Payload Data.
Maintenant que nous avons une bonne connaissance de la fragmentation Ipv6 et de l’ESP IPsec, nous pouvons poursuivre l’analyse des différences de correctifs en analysant les deux fonctions qui ont été corrigées.
En comparant les graphes de fonctions côte à côte, on peut voir qu’un seul nouveau bloc de code a été introduit dans la fonction corrigée :
Comparaison côte à côte des graphes des fonctions d’IPv6ReassembleDatagram avant et après les correctifs
Examinons de plus près le bloc :
Nouveau bloc de code dans la fonction corrigée
Le nouveau bloc de code compare deux entiers non signés (dans les registres EAX et EDX) et passe à un autre bloc si une valeur est inférieure à l’autre. Jetons un coup d’œil à ce bloc de destination :
Le code cible comporte un appel inconditionnel à la fonction
Grâce à ces informations, nous pouvons effectuer une analyse statique dans un décompilateur.
0vercl0ck avait déjà publié un article de blog dans lequel il analysait une vulnérabilité différente d’IPv6 et approfondissant la rétro-ingénierie de tcpip.sys. Grâce à ce travail et à un peu plus de rétro-ingénierie, j’ai pu compléter les définitions des structures pour les objets
Résultat de la décompilation de Ipv6ReassembleDatagram
Dans l’extrait de code ci-dessus, la boîte rose entoure le nouveau code ajouté par le correctif.
Comme cette vérification a été ajoutée, nous savons maintenant qu’il existe une condition qui permet à
En regardant le graphe des fonctions côte à côte dans l’espace de travail BinDiff, nous pouvons identifier de nouveaux blocs de code introduits dans la fonction corrigée :
Comparaison côte à côte des graphes des fonctions d’IPPReceiveESP avant et après l’application du correctif
L’image ci-dessous montre la décompilation de la fonction
Résultat de la décompilation d’IppReceiveESP
Ici, une nouvelle vérification a été ajoutée pour examiner le champ Next Header du paquet ESP. Le champ Next Header identifie l’en-tête du paquet ESP décrypté. Rappelons qu’une valeur Next Header peut correspondre à un protocole de couche supérieure (comme TCP ou UDP) ou à un en-tête d’extension (comme un en-tête de fragmentation ou de routage). Si la valeur dans
est 0, 0x2B ou 0x2C,
est appelé et le code d’erreur est défini sur
. Ces valeurs correspondent respectivement à l’option par saut IPv6, l’en-tête de routage pour IPv6, et l’en-tête de fragmentation pour IPv6.
En se référant à la RFC ESP, on peut lire : « Dans le contexte IPv6, ESP est considéré comme une charge utile de bout en bout et doit donc apparaître après les en-têtes d’extension par saut, de routage et de fragmentation. » Le problème est désormais bien visible. Si un en-tête de ce type est contenu dans une charge utile ESP, il viole la RFC du protocole. Le paquet sera alors rejeté.
Maintenant que nous avons diagnostiqué les correctifs dans deux fonctions différentes, nous pouvons déterminer la façon dont ils sont liés. Dans la première fonction
Résultat de la décompilation de Ipv6ReassembleDatagram
Rappelez-vous que la taille du tampon de la victime est calculée comme la taille des en-têtes d’extension, plus la taille d’un en-tête Ipv6 (ligne 10 ci-dessus). Reportez-vous maintenant au correctif qui a été inséré (ligne 16).
Reportez-vous maintenant à la structure d’un paquet ESP :
Format de haut niveau d’un paquet ESP
On remarque que le champ Next Header vient *après* Payload Data. Cela signifie que
Illustration de la cause racine de la vulnérabilité CVE-2022-34718
Retournez maintenant à la ligne 35 de
Nous savons maintenant que le bug peut être déclenché en envoyant un datagramme fragmenté IPv6 via des paquets ESP IPsec.
La prochaine question à laquelle il faut répondre est la suivante : comment la victime pourra-t-elle déchiffrer les paquets ESP ?
Pour répondre à cette question, j’ai d’abord essayé d’envoyer à une victime des paquets contenant un en-tête ESP avec des données superflues. J’ai aussi placé un breakpoint sur la fonction
vulnérable, pour voir si elle peut être atteinte. Le breakpoint a été atteint, mais la fonction interne qui, je le pensais, se chargerait de décrypter
a renvoyé une erreur, donc le code vulnérable n’a jamais été atteint. J’ai ensuite appliqué une tâche de rétro-ingénierie à
et je me suis frayé un chemin pour trouver le point de défaillance. C’est là que j’ai appris que pour réussir à décrypter un paquet ESP, une association de sécurité doit être établie.
Une association de sécurité consiste en un état partagé, principalement des clés et des paramètres cryptographiques, maintenu entre deux points de terminaison pour sécuriser le trafic entre eux. En d’autres termes, une association de sécurité définit la manière dont un hôte chiffre/déchiffre/authentifie le trafic provenant de/vers un autre hôte. Les associations de sécurité peuvent être établies via le protocole Internet Key Exchange (IKE) ou le protocole Authenticated IP. En bref, nous avons besoin d’un moyen d’établir une association de sécurité avec la victime, afin qu’elle sache comment déchiffrer les données entrantes provenant de l’attaquant.
À des fins de test, au lieu d’implémenter l’IKE, j’ai décidé de créer manuellement une association de sécurité sur la victime. Cette opération peut être réalisée à l’aide de la plateforme de filtrage Windows WinAPI (PAM). L’article de blog de Numen indique qu’il n’est pas possible d’utiliser PAM pour la gestion des clés secrètes. C’est toutefois faux. En modifiant un code d’exemple fourni par Microsoft, il est possible de définir une clé symétrique que la victime utilisera pour déchiffrer les paquets ESP provenant de l’IP de l’attaquant.
Maintenant que la victime sait comment déchiffrer le trafic ESP provenant de nous (l’attaquant), nous pouvons concevoir des paquets ESP chiffrés malformés à l’aide de Scapy. Avec Scapy, nous pouvons envoyer des paquets sur la couche IP. Le processus d’exploitation est simple :
PoC de la vulnérabilité CVE-2022-34718
Je crée un ensemble de paquets fragmentés à partir d’une requête ICMPv6 Echo. Ensuite, pour chaque fragment, ils sont chiffrés dans une couche ESP avant d’être envoyés.
D’après le diagramme d’analyse de cause racine illustré ci-dessus, nous savons que notre primitive nous donne une écriture hors limites à
offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)
La valeur de l’écriture est contrôlable via la valeur du champ Next Header. J’ai fixé cette valeur à la ligne 36 dans mon exploitation ci-dessus (0x41 😉).
Corrompre un seul octet par décalage aléatoire du pool
NetIoProtocolHeader2
est contrôlé par l’attaquant, mais selon la RFC ESP, un remplissage est nécessaire pour que le champ de la valeur de contrôle d’intégrité (ICV) (s’il est présent) soit aligné sur une limite de 4 octets.
Comme
sizeof(Padding Length) = sizeof(Next Header) = 1,
sizeof(Payload Data) + sizeof(Padding) + 2
doit être aligné sur 4 octets.
Et donc :
offset = 4n - 1
Où n peut être n’importe quel nombre entier positif, contraint par le fait que les données de charge utile et le remplissage doivent tenir dans un seul paquet et est donc limité par la MTU (taille de la trame). C’est problématique, car cela signifie que les pointeurs complets ne peuvent pas être remplacés. C’est limitatif, mais pas forcément prohibitif ; nous pouvons toujours remplacer le décalage d’une adresse dans un objet, une taille, un compteur de références, etc. Les possibilités qui s’offrent à nous dépendent des objets qui peuvent être pulvérisés dans le pool de noyaux où la victime
headerBuff est allouée.
Le pool de noyaux affecté dans WinDbg
Le tampon victime hors limites est alloué dans le pool
. Les premières étapes de la recherche de heap grooming sont les suivantes : examiner le type d’objets alloués dans ce pool, ce qu’ils contiennent, comment ils sont utilisés et comment les objets sont alloués/libérés. Cela nous permettra d’examiner comment la primitive d’écriture peut être utilisée pour réaliser une fuite ou construire une primitive plus forte. Nous ne sommes pas nécessairement limités à
. Cependant, étant donné que la position du tampon de la victime ne peut être prédite et que l’adresse des pools environnants est aléatoire, il semble difficile de cibler d’autres pools.
Regardez ci-dessous la démonstration exploitant la vulnérabilité CVE-2022-34718 « EvilESP » pour DoS :
Présenté ainsi, le bug semble assez simple. Cependant, il a fallu plusieurs jours de rétro-ingénierie et d’apprentissage des différentes piles de réseau et protocoles pour comprendre la situation dans son ensemble et écrire un exploit DoS. De nombreux chercheurs vous diront que la configuration et la compréhension de l’environnement sont la partie la plus longue et la plus fastidieuse du processus, et celle-ci ne fait pas exception. Je suis très contente d’avoir décidé de réaliser ce petit projet. Maintenant, je comprends mieux c’est que sont IPv6, IPsec et la fragmentation.
