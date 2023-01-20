Sécurité

Disséquer et exploiter la vulnérabilité RCE TCP/IP « EvilESP »

Illustration de deux personnes tenant un bouclier avec une serrure au milieu

Le Patch Tuesday de septembre a dévoilé une vulnérabilité critique à distance dans tcpip.sys, CVE-2022-34718. L’avertissement de Microsoft indique : « Un attaquant non authentifié pourrait envoyer un paquet IPv6 spécialement conçu vers un nœud Windows où IPsec est activé, ce qui pourrait permettre une exploitation d’exécution de code à distance sur cette machine. »

Les vulnérabilités purement distantes suscitent généralement beaucoup d’intérêt, mais même plus d’un mois après l’application du correctif, aucune information supplémentaire n’a été publiée en dehors de l’avertissement de Microsoft. De mon côté, cela faisait longtemps que je n’avais pas tenté d’effectuer une analyse des différences de correctifs binaires. Je me suis donc dit que ce serait un bon bug pour effectuer une analyse des causes racines et créer une preuve de concept (PoC) pour un article de blog.

Le 21 octobre de l’année dernière, j’ai publié une démo d’exploitation et une analyse de cause racine du bug. Peu de temps après cet article de blog, une PoC a été publiée par Numen Cyber Labs sur la vulnérabilité, utilisant une méthode d’exploitation différente de celle que j’avais utilisée dans ma démo.

Dans cet article de blog, mon article de suivi à ma vidéo de l’exploitation, j’inclus une explication détaillée de la rétro-ingénierie du bug et je corrige certaines inexactitudes que j’ai trouvées dans le blog de Numen Cyber Labs.

Dans les sections suivantes, j’aborde l’étape de rétro-ingénierie du correctif de la vulnérabilité CVE-2022-34718, les protocoles concernés, l’identification du bug et sa reproduction. Je vais présenter la configuration d’un environnement de test et écrire une exploitation pour déclencher le bug et provoquer un déni de service (DoS). Enfin, je vais examiner les exploitations primitives et décrire les étapes suivantes pour transformer les primitives en exécution de code à distance (RCE).

Différenciation des patchs

L’avertissement de Microsoft ne contient pas de détails spécifiques sur la vulnérabilité, si ce n’est qu’elle est contenue dans le pilote TCP/IP et qu’elle nécessite l’activation d’IPsec. Afin d’identifier la cause spécifique de la vulnérabilité, nous allons comparer le binaire corrigé au binaire avant l’application du correctif et essayer d’extraire le « diff » (la différence) à l’aide d’un outil appelé BinDiff.

J’ai utilisé Winbindex pour obtenir deux versions de tcpip.sys : une version juste avant l’application du correctif et une autre version juste après, les deux pour la même version de Windows. Il est important d’obtenir des versions séquentielles des binaires, car même l’utilisation de versions distantes de quelques mises à jour peut introduire du bruit provenant de différences qui ne sont pas liées au correctif et vous faire perdre du temps dans votre analyse. Winbindex facilite grandement l’analyse des correctifs, car vous pouvez obtenir n’importe quel binaire Windows dès Windows 10. J’ai chargé les deux fichiers dans Ghidra, j’ai appliqué les fichiers de la base de données de programme (pdb) et j’ai lancé l’analyse automatique (la vérification de l’outil de recherche d’instructions agressives est la plus efficace). Ensuite, les fichiers peuvent être exportés au format BinExport en utilisant l’extension BinExport for Ghidra. Les fichiers peuvent alors être chargés dans BinDiff pour créer un diff et commencer à analyser leurs différences :

Vue comparative de deux fichiers système utilisant BinDiff, montrant des fonctions identiques à 100 % entre tcpip_old.sys et tcpip_new.sys. Inclut un diagramme circulaire, un score de similarité de 0,99 et un diagramme à barres indiquant une similarité de fonction presque identique. Les détails des fichiers tels que les chemins d’accès, les hachages, l’architecture (x86-64) et le nombre de fonctions (5 487) sont affichés.

Récapitulatif BinDiff comparant les binaires avant et après l’application d’un correctif

BinDiff fonctionne en faisant correspondre les fonctions des binaires comparés à l’aide de divers algorithmes. Ici, nous avons appliqué les informations sur les symboles de fonction de Microsoft, de sorte que toutes les fonctions puissent être identifiées par leur nom.

Comparaison détaillée des fonctions adaptées entre deux fichiers système, montrant une similarité de 100 % dans les blocs de base et les sauts, et une différence d’instruction de 158,2 %. Comprend des diagrammes circulaires, un score de similarité de 0,99, et un graphique à barres. Ci-dessous, un tableau répertorie 5 487 fonctions correspondantes avec des colonnes pour la similarité, la confiance, les noms primaire et secondaire, les adresses, le type, les blocs de base et les sauts, surlignés en vert pour une similarité élevée.

Liste des fonctions correspondantes triées par similarité

Ci-dessus, nous voyons qu’il n’y a que deux fonctions dont la similitude est inférieure à 100 %. Les deux fonctions modifiées par le correctif sont IppReceiveEsp  et Ipv6pReassembleDatagram .

Analyse de la cause racine de la vulnérabilité

Des recherches antérieures montrent que la fonction Ipv6pReassembleDatagram gère le réassemblage des paquets fragmentés Ipv6.

Le nom de la fonction IppReceiveEsp semble indiquer que cette fonction gère la réception des paquets ESP IPsec.

Avant de passer plus en détail au correctif, je couvrirai brièvement la fragmentation Ipv6 et IPsec. Une compréhension générale de ces structures de paquets vous aidera lors des tentatives de rétro-ingénierie du correctif.

Fragmentation IPv6 :

Un paquet IPv6 peut être divisé en fragments, chaque fragment étant envoyé comme un paquet séparé. Une fois que tous les fragments atteignent leur destination, le destinataire les réassemble pour former le paquet d’origine.

Le schéma ci-dessous illustre la fragmentation :

Diagramme illustrant la fragmentation des paquets IPv6. Le paquet d’origine contient un en-tête IPv6, un en-tête d’extension optionnel, un en-tête TCP et une charge utile TCP. Il est divisé en trois paquets de fragments, chacun avec son propre en-tête IPv6, un en-tête d’extension optionnel, un en-tête de fragment et des fragments étiquetés #1, #2 et #3.

Illustration de la fragmentation Ipv6

Selon les RFC, la fragmentation est implémentée via un en-tête d’extension appelé en-tête de fragment, au format suivant :

Diagramme d’un format d’en-tête de fragment IPv6 montrant les positions des bits 0 à 31 sur deux lignes. Les champs incluent Next Header, Reserved, Fragment Offset, deux champs à un seul bit étiquetés Res et M, ainsi qu’un grand champ d’identification couvrant la deuxième ligne.

Format d’en-tête de fragment Ipv6

Le champ Next Header correspond au type d’en-tête présent dans les données fragmentées.

IPsec (ESP) :

IPsec est un groupe de protocoles utilisés ensemble pour configurer des connexions chiffrées. Il est souvent utilisé pour configurer des réseaux privés virtuels (VPN). Dès la première partie de l’analyse du correctif, nous savons que le bug est lié au traitement des paquets ESP. Nous allons donc nous concentrer sur le protocole ESP (Encapsulating Security Payload).

Comme son nom l’indique, le protocole ESP chiffre (encapsule) le contenu d’un paquet. Il existe deux modes : en mode tunnel, une copie de l’en-tête IP est contenue dans la charge utile chiffrée. En mode transport, seule la partie de la couche de transport du paquet est chiffrée. Comme la fragmentation IPv6, le protocole ESP est implémenté en tant qu’en-tête d’extension. Selon les RFC, un paquet ESP est formaté comme suit :

Format de haut niveau d’un paquet ESP.

Les champs SPI (Security Parameters Index) et de numéro de séquence constituent l’en-tête d’extension ESP, et les champs entre Payload Data et Next Header, tous deux compris, sont chiffrés. Le champ Next Header décrit l’en-tête contenu dans Payload Data.

Maintenant que nous avons une bonne connaissance de la fragmentation Ipv6 et de l’ESP IPsec, nous pouvons poursuivre l’analyse des différences de correctifs en analysant les deux fonctions qui ont été corrigées.

Ipv6pReassembleDatagram

En comparant les graphes de fonctions côte à côte, on peut voir qu’un seul nouveau bloc de code a été introduit dans la fonction corrigée :

Comparaison côte à côte de deux diagrammes de flux hiérarchiques intitulés « primaire » à gauche en bleu et « secondaire » à droite en rouge. Les deux diagrammes consistent en des nœuds rectangulaires interconnectés en vert et jaune, représentant des structures similaires. Le diagramme secondaire comporte un nœud entouré en rose près du haut.

Comparaison côte à côte des graphes des fonctions d’IPv6ReassembleDatagram avant et après les correctifs

Examinons de plus près le bloc :

Extrait de code assembleur pour la fonction Ipv6pReassembleDatagram. Il affiche les adresses mémoire à gauche et les instructions à droite : MOVZX EAX, word ptr [RBX + 0xbc], CMP EAX, EDX, and JBE LAB_1c0199c07. Le bloc est surligné par des flèches pointillées rouges et vertes pointant vers le bas.

Nouveau bloc de code dans la fonction corrigée

Le nouveau bloc de code compare deux entiers non signés (dans les registres EAX et EDX) et passe à un autre bloc si une valeur est inférieure à l’autre. Jetons un coup d’œil à ce bloc de destination :

Bloc de code assembleur pour la fonction Ipv6pReassembleDatagram, affiché avec des adresses de mémoire à gauche et des instructions sur la droite. Les instructions comprennent LEA RCX, [R15 + 0x4f50], MOV R8B, R13B, MOV RDX, RBX, CALL IppDeleteFromReassemblySet et JMP LAB_1c019a006. Le bloc est mis en surbrillance en vert avec des flèches pointant vers lui depuis plusieurs directions.

Le code cible comporte un appel inconditionnel à la fonction IppDeleteFromReassemblySet . Si l’on se base sur le nom de cette fonction, ce bloc semble être destiné à la gestion des erreurs. Nous savons que le nouveau code qui a été ajouté est une sorte de vérification des limites, et qu’une ligne «goto error » a été insérée dans le code, en cas d’échec de la vérification.

Grâce à ces informations, nous pouvons effectuer une analyse statique dans un décompilateur.

0vercl0ck avait déjà publié un article de blog dans lequel il analysait une vulnérabilité différente d’IPv6 et approfondissant la rétro-ingénierie de tcpip.sys. Grâce à ce travail et à un peu plus de rétro-ingénierie, j’ai pu compléter les définitions des structures pour les objets Packet_t  et Reassembly_t  non documentés, ainsi qu’identifier plusieurs attributions de variables locales cruciales.

Capture d’écran du code source C++ pour la fonction Ipv6pReassembleDatagram. Le code comprend des déclarations de variables, des vérifications conditionnelles et des appels de fonctions tels que NetioAllocateAndReferenceNetBufferAndNetBufferList, IppDeleteFromReassemblySet et IppCopyPacket. Une ligne surlignée en rose affiche la condition « if (Reassembly->nextheader_offset == HeaderBufferLen) » à l’intérieur d’un bloc if.

Résultat de la décompilation de Ipv6ReassembleDatagram

Dans l’extrait de code ci-dessus, la boîte rose entoure le nouveau code ajouté par le correctif. Reassembly->nextheader_offset  contient le décalage d’octet de next_header field  dans l’en-tête de fragmentation Ipv6. La vérification des limites compare next_header_offset  à la longueur de la mémoire tampon d’en-tête. À la ligne 29, HeaderBufferLen  permet d’allouer un tampon et à la ligne 35, Reassembly->nextheder_offset > permet d’indexer et de copier dans la mémoire tampon allouée.

Comme cette vérification a été ajoutée, nous savons maintenant qu’il existe une condition qui permet à nextheader_offset  de dépasser la longueur de la mémoire tampon de l’en-tête. Nous allons passer à la deuxième fonction corrigée pour obtenir plus de réponses.

IppReceiveEsp

En regardant le graphe des fonctions côte à côte dans l’espace de travail BinDiff, nous pouvons identifier de nouveaux blocs de code introduits dans la fonction corrigée :

Comparaison côte à côte de deux graphiques de flux de contrôle pour la fonction IPPReceiveESP. Le diagramme de gauche est étiqueté « primaire » en bleu, et le diagramme de droite est étiqueté « secondaire » en rouge. Les deux diagrammes contiennent des blocs interconnectés d’instructions d’assemblage en beige et en vert. Le diagramme secondaire comporte une section mise en surbrillance avec une forme ovale rose autour de deux blocs centraux.

Comparaison côte à côte des graphes des fonctions d’IPPReceiveESP avant et après l’application du correctif

L’image ci-dessous montre la décompilation de la fonction IppReceiveEsp , avec une boîte rose entourant le nouveau code ajouté par le correctif.

Capture d’écran du code source C++ de la fonction IPPReceiveESP. Le code inclut des déclarations de variables, des instructions conditionnelles et des appels de fonction. Une section surlignée en rose montre un bloc conditionnel qui vérifie les valeurs de Packet->NextHeader et appelle IPPDiscardReceivedPackets, puis définit STATUS_DATA_NOT_ACCEPTED.

Résultat de la décompilation d’IppReceiveESP

Ici, une nouvelle vérification a été ajoutée pour examiner le champ Next Header du paquet ESP. Le champ Next Header identifie l’en-tête du paquet ESP décrypté. Rappelons qu’une valeur Next Header peut correspondre à un protocole de couche supérieure (comme TCP ou UDP) ou à un en-tête d’extension (comme un en-tête de fragmentation ou de routage). Si la valeur dans NextHeader est 0, 0x2B ou 0x2C, IppDiscardReceivedPackets est appelé et le code d’erreur est défini sur STATUS_DATA_NOT_ACCEPTED . Ces valeurs correspondent respectivement à l’option par saut IPv6, l’en-tête de routage pour IPv6, et l’en-tête de fragmentation pour IPv6.

En se référant à la RFC ESP, on peut lire : « Dans le contexte IPv6, ESP est considéré comme une charge utile de bout en bout et doit donc apparaître après les en-têtes d’extension par saut, de routage et de fragmentation. » Le problème est désormais bien visible. Si un en-tête de ce type est contenu dans une charge utile ESP, il viole la RFC du protocole. Le paquet sera alors rejeté.

Tout regrouper

Maintenant que nous avons diagnostiqué les correctifs dans deux fonctions différentes, nous pouvons déterminer la façon dont ils sont liés. Dans la première fonction Ipv6ReassembleDatagram , nous avons déterminé que le correctif concernait un dépassement de tampon.

Capture d’écran du code source C++ pour la fonction Ipv6pReassembleDatagram. Le code comprend des déclarations de variables, des vérifications conditionnelles et des appels de fonctions. Une section surlignée en rose indique la condition « if (Reassembly->nextheader_offset == HeaderBufferLen) » dans un bloc if, suivie de la logique d’allocation et de traitement des buffers réseau.

Résultat de la décompilation de Ipv6ReassembleDatagram

Rappelez-vous que la taille du tampon de la victime est calculée comme la taille des en-têtes d’extension, plus la taille d’un en-tête Ipv6 (ligne 10 ci-dessus). Reportez-vous maintenant au correctif qui a été inséré (ligne 16). Reassembly->nextheader_offset  fait référence au décalage de la valeur Next Header du tampon contenant les données du fragment.

Reportez-vous maintenant à la structure d’un paquet ESP :

Diagramme d’un format de paquet ESP IPsec montrant les positions de bits 0 à 31 sur plusieurs lignes. Les champs comprennent l’index des paramètres de sécurité (SPI), le numéro de séquence, les données de charge utile de longueur variable, le remplissage (0 à 255 octets), la longueur de remplissage, l’en-tête suivant et la valeur de contrôle d’intégrité (ICV). Les marqueurs verticaux indiquent la couverture de l’intégrité et de la confidentialité.

Format de haut niveau d’un paquet ESP

On remarque que le champ Next Header vient *après* Payload Data. Cela signifie que Reassembly->nextheader_offset  contiendra la taille de Payload Data, qui est contrôlée par la taille des données et qui peut être bien plus grande que la taille des en-têtes d’extension. L’emplacement prévu du champ Next Header se trouve à l’intérieur d’un en-tête d’extension ou d’un en-tête Ipv6. Dans un paquet ESP, il ne se trouve pas dans l’en-tête, car il est en fait contenu dans la partie chiffrée du paquet.

Diagramme expliquant la cause première de la vulnérabilité CVE-2022-34718. Affiche la structure des paquets IPv6 avec les en-têtes, la charge utile, le remplissage et l’ICV. Met en évidence la taille de la charge utile contrôlée par l’attaquant et l’inadéquation entre la position attendue et la position réelle du Next Header.

Illustration de la cause racine de la vulnérabilité CVE-2022-34718

Retournez maintenant à la ligne 35 de Ipv6ReassembleDatagram , c’est là que se produit une écriture hors limites sur 1 octet (taille et valeur de NextHeader ).

Reproduire le bug

Nous savons maintenant que le bug peut être déclenché en envoyant un datagramme fragmenté IPv6 via des paquets ESP IPsec.

La prochaine question à laquelle il faut répondre est la suivante : comment la victime pourra-t-elle déchiffrer les paquets ESP ?

Pour répondre à cette question, j’ai d’abord essayé d’envoyer à une victime des paquets contenant un en-tête ESP avec des données superflues. J’ai aussi placé un breakpoint sur la fonction IppReceiveEsp vulnérable, pour voir si elle peut être atteinte. Le breakpoint a été atteint, mais la fonction interne qui, je le pensais, se chargerait de décrypter IppReceiveEspNbl a renvoyé une erreur, donc le code vulnérable n’a jamais été atteint. J’ai ensuite appliqué une tâche de rétro-ingénierie à IppReceiveEspNbl  et je me suis frayé un chemin pour trouver le point de défaillance. C’est là que j’ai appris que pour réussir à décrypter un paquet ESP, une association de sécurité doit être établie.

Une association de sécurité consiste en un état partagé, principalement des clés et des paramètres cryptographiques, maintenu entre deux points de terminaison pour sécuriser le trafic entre eux. En d’autres termes, une association de sécurité définit la manière dont un hôte chiffre/déchiffre/authentifie le trafic provenant de/vers un autre hôte. Les associations de sécurité peuvent être établies via le protocole Internet Key Exchange (IKE) ou le protocole Authenticated IP. En bref, nous avons besoin d’un moyen d’établir une association de sécurité avec la victime, afin qu’elle sache comment déchiffrer les données entrantes provenant de l’attaquant.

À des fins de test, au lieu d’implémenter l’IKE, j’ai décidé de créer manuellement une association de sécurité sur la victime. Cette opération peut être réalisée à l’aide de la plateforme de filtrage Windows WinAPI (PAM). L’article de blog de Numen indique qu’il n’est pas possible d’utiliser PAM pour la gestion des clés secrètes. C’est toutefois faux. En modifiant un code d’exemple fourni par Microsoft, il est possible de définir une clé symétrique que la victime utilisera pour déchiffrer les paquets ESP provenant de l’IP de l’attaquant.

Exploitation

Maintenant que la victime sait comment déchiffrer le trafic ESP provenant de nous (l’attaquant), nous pouvons concevoir des paquets ESP chiffrés malformés à l’aide de Scapy. Avec Scapy, nous pouvons envoyer des paquets sur la couche IP. Le processus d’exploitation est simple :

Capture d’écran du code Python définissant une fonction nommée exploit. Le code construit un paquet IPv6 avec une adresse source, calcule la taille des données en utilisant max(frag_size*2, 0x200), crée une demande d’écho ICMPv6, ajoute un en-tête de fragment IPv6 et fragmente le paquet. Une boucle modifie le champ Next Header en 0x41 (écriture de dépassement), chiffre le paquet et l’envoie.

PoC de la vulnérabilité CVE-2022-34718

Je crée un ensemble de paquets fragmentés à partir d’une requête ICMPv6 Echo. Ensuite, pour chaque fragment, ils sont chiffrés dans une couche ESP avant d’être envoyés.

Primitive

D’après le diagramme d’analyse de cause racine illustré ci-dessus, nous savons que notre primitive nous donne une écriture hors limites à

offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)

La valeur de l’écriture est contrôlable via la valeur du champ Next Header. J’ai fixé cette valeur à la ligne 36 dans mon exploitation ci-dessus (0x41 😉).

Déni de service (DoS)

Corrompre un seul octet par décalage aléatoire du pool NetIoProtocolHeader2  (où la mémoire tampon cible est allouée) ne provoque généralement pas de plantage immédiat. Nous pouvons faire planter la cible de manière fiable en insérant des en-têtes supplémentaires dans le message fragmenté à analyser, ou en envoyant un ping à plusieurs reprises à la cible après avoir corrompu une grande partie du pool.

Limites à surmonter pour la RCE

offset est contrôlé par l’attaquant, mais selon la RFC ESP, un remplissage est nécessaire pour que le champ de la valeur de contrôle d’intégrité (ICV) (s’il est présent) soit aligné sur une limite de 4 octets.

Comme

sizeof(Padding Length) = sizeof(Next Header) = 1,

 

sizeof(Payload Data) + sizeof(Padding) + 2

doit être aligné sur 4 octets.

Et donc :

offset = 4n - 1

Où n peut être n’importe quel nombre entier positif, contraint par le fait que les données de charge utile et le remplissage doivent tenir dans un seul paquet et est donc limité par la MTU (taille de la trame). C’est problématique, car cela signifie que les pointeurs complets ne peuvent pas être remplacés. C’est limitatif, mais pas forcément prohibitif ; nous pouvons toujours remplacer le décalage d’une adresse dans un objet, une taille, un compteur de références, etc. Les possibilités qui s’offrent à nous dépendent des objets qui peuvent être pulvérisés dans le pool de noyaux où la victime headerBuff est allouée.

Heap grooming de recherche

Vue rapprochée du code

Le pool de noyaux affecté dans WinDbg

Le tampon victime hors limites est alloué dans le pool NetIoProtocolHeader2 . Les premières étapes de la recherche de heap grooming sont les suivantes : examiner le type d’objets alloués dans ce pool, ce qu’ils contiennent, comment ils sont utilisés et comment les objets sont alloués/libérés. Cela nous permettra d’examiner comment la primitive d’écriture peut être utilisée pour réaliser une fuite ou construire une primitive plus forte. Nous ne sommes pas nécessairement limités à NetIoProtocolHeader2 . Cependant, étant donné que la position du tampon de la victime ne peut être prédite et que l’adresse des pools environnants est aléatoire, il semble difficile de cibler d’autres pools.

Démo

Regardez ci-dessous la démonstration exploitant la vulnérabilité CVE-2022-34718 « EvilESP » pour DoS :

À retenir

Présenté ainsi, le bug semble assez simple. Cependant, il a fallu plusieurs jours de rétro-ingénierie et d’apprentissage des différentes piles de réseau et protocoles pour comprendre la situation dans son ensemble et écrire un exploit DoS. De nombreux chercheurs vous diront que la configuration et la compréhension de l’environnement sont la partie la plus longue et la plus fastidieuse du processus, et celle-ci ne fait pas exception. Je suis très contente d’avoir décidé de réaliser ce petit projet. Maintenant, je comprends mieux c’est que sont IPv6, IPsec et la fragmentation.

Pour découvrir comment IBM Security X-Force peut vous aider avec les services de sécurité offensive, planifiez une réunion de consultation gratuite ici : IBM X-Force Scheduler.

En cas de problème ou d'incident de cybersécurité, contactez X-Force pour obtenir de l'aide : ligne d'assistance É.-U. 1-888-241-9812 | Ligne d'assistance mondiale (+001) 312-212-8034.

