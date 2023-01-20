Keamanan

Membedah dan mengeksploitasi kerentanan TCP/IP RCE “EvilESP”

Ilustrasi dua orang memegang perisai dengan kunci di tengah

Patch Tuesday bulan September mengungkap kerentanan jarak jauh penting di tcpip.sys, CVE-2022-34718. Pemberitahuan dari Microsoft menyampaikan: “Seorang penyerang yang tidak diautentikasi dapat mengirim paket IPv6 yang dibuat khusus ke node Windows di mana IPsec diaktifkan, yang memungkinkan eksploitasi eksekusi kode jarak jauh pada mesin itu”.

Kerentanan jarak jauh murni biasanya menghasilkan banyak minat, tetapi bahkan lebih dari sebulan setelah patching, tidak ada informasi tambahan di luar pemberitahuan Microsoft yang diterbitkan secara publik. Dari sisi saya, sudah lama sejak saya mencoba melakukan analisis perbedaan patch biner, jadi saya pikir ini akan menjadi bug yang bagus untuk melakukan analisis akar masalah dan membuat bukti konsep (POC) untuk postingan blog.

Pada 21 Oktober tahun lalu, saya memposting eksploitasi demo dan analisis akar masalah dari bug tersebut. Tak lama kemudian, sebuah postingan blog dan PoC diterbitkan oleh Numen Cyber Labs tentang kerentanan tersebut, menggunakan metode eksploitasi yang berbeda dari yang saya gunakan dalam demo saya.

Di blog ini, artikel tindak lanjut dari video eksploitasi, saya menyertakan penjelasan mendalam tentang rekayasa balik bug dan memperbaiki beberapa ketidakakuratan yang saya temukan di blog Numen Cyber Labs.

Di bagian berikut, saya akan membahas rekayasa balik patch untuk CVE-2022-34718, protokol yang terpengaruh, mengidentifikasi bug, dan mereproduksinya. Saya akan menguraikan pengaturan lingkungan pengujian dan menulis eksploitasi untuk memicu bug dan menyebabkan Denial of Service (DoS). Akhirnya, saya akan melihat primitif eksploitasi dan menguraikan langkah selanjutnya untuk mengubah primitif menjadi eksekusi kode jarak jauh (RCE).

Patch Diffing

Pemberitahuan Microsoft tidak berisi rincian spesifik tentang kerentanan kecuali bahwa hal itu terkandung dalam driver TCP/IP dan mengharuskan IPsec diaktifkan. Untuk mengidentifikasi penyebab spesifik kerentanan, kita akan membandingkan biner yang di-patch dengan biner sebelum patching dan mencoba mengekstrak “diff” (perbandingan) menggunakan alat yang disebut BinDiff.

Saya menggunakan Winbindex untuk mendapatkan dua versi tcpip.sys: satu tepat sebelum patch dan satu tepat setelahnya, keduanya untuk versi Windows yang sama. Mendapatkan versi berurutan dari biner itu penting, karena bahkan menggunakan versi beberapa pembaruan terpisah dapat menimbulkan gangguan akibat perbedaan yang tidak terkait dengan patch, sehingga membuang waktu saat Anda melakukan analisis. Winbindex telah membuat analisis patch lebih mudah dari sebelumnya, karena Anda dapat memperoleh biner Windows apa pun mulai dari Windows 10. Saya memuat kedua file tersebut di Ghidra, menerapkan file Program Database (pdb), dan menjalankan analisis otomatis (mencentang opsi Aggressive Instruction Finder bekerja paling baik). Setelah itu, file dapat diekspor ke dalam format BinExport menggunakan ekstensi BinExport untuk Ghidra. File-file tersebut kemudian dapat dimuat ke Bindiff untuk membuat perbandingan dan mulai menganalisis perbedaannya:

Tampilan perbandingan dua file sistem menggunakan BinDiff, menunjukkan 100% fungsi yang cocok antara tcpip_old.sys dan tcpip_new.sys. Termasuk diagram melingkar, skor kesamaan 0,99, dan bagan batang yang menunjukkan kesamaan fungsi yang hampir identik. Detail file seperti jalur, hash, arsitektur (x86-64), dan jumlah fungsi (5487) ditampilkan.

Ringkasan Bindiff membandingkan biner pra dan pasca-patch

Bindiff bekerja dengan mencocokkan fungsi dalam biner yang dibandingkan menggunakan berbagai algoritma. Dalam hal ini di sana, kami telah menerapkan informasi simbol fungsi dari Microsoft, sehingga semua fungsi dapat dicocokkan berdasarkan nama.

Perbandingan terperinci fungsi yang cocok antara dua file sistem, menunjukkan kesamaan 100% dalam blok dan lompatan dasar, dan perbedaan instruksi 158,2%. Termasuk diagram melingkar, skor kemiripan 0,99, dan diagram batang. Di bawah ini, tabel mencantumkan 5.487 fungsi yang cocok dengan kolom untuk kesamaan, kepercayaan, nama primer dan sekunder, alamat, jenis, blok dasar, dan lompatan, disorot dengan warna hijau untuk kesamaan tinggi.

Daftar fungsi yang cocok diurutkan berdasarkan kesamaan

Di atas kita lihat hanya ada dua fungsi yang memiliki kesamaan kurang dari 100%. Dua fungsi yang diubah oleh patch adalah IppReceiveEsp  dan Ipv6pReassembleDatagram .

Analisis Akar Masalah Kerentanan

Penelitian sebelumnya menunjukkan fungsi Ipv6pReassembleDatagram menangani perakitan kembali paket terfragmentasi Ipv6.

Nama fungsi IppReceiveEsp tampaknya mengindikasikan fungsi ini menangani penerimaan paket IPsec ESP.

Sebelum menyelami patch, saya akan membahas secara singkat fragmentasi Ipv6 dan IPsec. Memiliki pemahaman umum tentang struktur paket ini akan membantu ketika mencoba merekayasa balik patch.

Fragmentasi IPv6:

Paket IPv6 dapat dibagi menjadi fragmen dengan setiap fragmen dikirim sebagai paket terpisah. Setelah semua fragmen mencapai tujuan, penerima merakitnya kembali untuk membentuk paket asli.

Diagram di bawah ini menggambarkan fragmentasi:

Diagram yang menggambarkan fragmentasi paket IPv6. Paket asli berisi header IPv6, header ekstensi opsional, header TCP, dan payload TCP. Ini dibagi menjadi tiga paket fragmen, masing-masing dengan header IPv6 sendiri, header ekstensi opsional, header fragmen, dan fragmen berlabel #1, #2, dan #3.

Ilustrasi fragmentasi Ipv6

Menurut RFC, fragmentasi diimplementasikan melalui Extension Header yang disebut Fragment Header, yang memiliki format berikut:

Diagram format header fragmen IPv6 menunjukkan posisi bit 0 hingga 31 di dua baris. Bidang termasuk Next Header, Reserved, Fragment Offset, dua bidang single-bit berlabel Res dan M, dan bidang Identification besar yang mencakup baris kedua.

Format Fragment Header Ipv6

Dimana bidang Next Header adalah jenis header yang ada dalam data terfragmentasi.

IPsec (ESP):

IPsec adalah sekelompok protokol yang digunakan bersama untuk mengatur koneksi terenkripsi. Protokol ini sering digunakan untuk mengatur Jaringan Privat Virtual (VPN). Dari bagian pertama analisis patch, kita tahu bug terkait dengan pemrosesan paket ESP, jadi kita akan fokus pada protokol Encapsulating Security Payload (ESP).

Seperti namanya, protokol ESP mengenkripsi (merangkum) isi paket. Ada dua mode: dalam mode tunnel , salinan header IP terkandung dalam payload terenkripsi, dan dalam mode transport di mana hanya bagian lapisan transport dari paket yang dienkripsi. Seperti fragmentasi IPv6, ESP diimplementasikan sebagai header ekstensi. Menurut RFC, paket ESP diformat sebagai berikut:

Format Tingkat Atas dari Paket ESP.

Di mana kolom Security Parameters Index (SPI) dan Sqeuence Number memberntuk header ekstensi ESP, dan bidang antara dan termasuk Payload Data dan Next Header dienkripsi. Bidang Next Header menjelaskan header yang terkandung dalam Payload Data.

Sekarang dengan primer Fragmentasi Ipv6 dan IPsec ESP, kita dapat melanjutkan analisis patch diff dengan menganalisis dua fungsi yang kami temukan telah di-patch.

Ipv6pReassembleDatagram

Membandingkan grafik fungsi secara berdampingan, kita dapat melihat bahwa satu blok kode baru telah disertakan ke dalam fungsi yang di-patch:

Perbandingan berdampingan dari dua diagram alur hierarkis yang diberi label ‘primer’ di sebelah kiri dengan warna biru dan ‘sekunder’ di sebelah kanan dengan warna merah. Kedua diagram terdiri dari node persegi panjang yang saling berhubungan berwarna hijau dan kuning, mewakili struktur serupa. Diagram sekunder memiliki satu node yang dilingkari merah muda di dekat bagian atas.

Perbandingan berdampingan dari grafik fungsi pra dan pasca-patch dari IPv6reassembleDataGram

Mari kita lihat blok kode lebih dekat:

Cuplikan kode rakitan untuk fungsi Ipv6pReassembleDatagram. Ini menunjukkan alamat memori di sebelah kiri dan instruksi di sebelah kanan: MOVZX EAX, word ptr [RBX + 0xbc], CMP EAX, EDX, dan JBE LAB_1c0199c07. Blok disorot dengan panah merah dan hijau putus-putus mengarah ke bawah.

Blok kode baru dalam fungsi yang di-patch

Blok kode baru melakukan perbandingan dua bilangan bulat tanpa tanda tangan (dalam register EAX dan EDX) dan melompat ke sebuah blok jika satu nilai kurang dari yang lain. Mari kita lihat blok tujuan tersebut:

Blok kode perakitan untuk fungsi Ipv6pReassembleDatagram, ditampilkan dengan alamat memori di sebelah kiri dan instruksi di sebelah kanan. Instruksi termasuk LEA RCX, [R15 + 0x4f50], MOV R8B, R13B, MOV RDX, RBX, CALL IppDeleteFromReassemblySet, dan JMP LAB_1c019a006. Blok disorot dengan warna hijau dengan panah yang menunjuknya dari berbagai arah.

Kode target memiliki panggilan tanpa syarat ke fungsi IppDeleteFromReassemblySet . Menebak dari nama fungsi ini, blok ini tampaknya digunakan untuk penanganan kesalahan. Kita dapat memahami bahwa kode baru yang ditambahkan adalah semacam pemeriksaan batas, dan ada ”goto error ” baris yang disisipkan ke dalam kode, jika pemeriksaan gagal.

Dengan wawasan ini, kita dapat melakukan analisis statis dalam dekompiler.

Sebelumnya, 0vercl0ck telah menerbitkan postinganblog tentang analisis kerentanan pada kerentanan IPv6 yang berbeda dan membahas secara mendalam rekayasa balik tcpip.sys. Dari analisis tersebut dan beberapa rekayasa balik tambahan, saya dapat mengisi definisi struktur untuk objek yang tidak terdokumentasi Packet_t  dan Reassembly_t  , serta mengidentifikasi beberapa penugasan variabel lokal yang penting.

Tangkapan layar kode sumber C++ untuk fungsi Ipv6pReassembleDatagram. Kode termasuk deklarasi variabel, pemeriksaan bersyarat, dan panggilan fungsi seperti NetioAllocateAndReferenceNetBufferAndNetBufferList, IppDeleteFromReassemblySet, dan IppCopyPacket. Garis yang disorot dengan warna merah muda menunjukkan kondisi ‘if (Reassembly->nextheader_offset == HeaderBufferLen)’ di dalam blok if.

Keluaran dekompilasi Ipv6ReassembleDatagram

Dalam cuplikan kode di atas, kotak merah muda mengelilingi kode baru yang ditambahkan oleh patch. Reassembly->nextheader_offset  berisi offset byte dari next_header field  dalam header fragmentasi IPv6. Pemeriksaan batas membandingkan next_header_offset  dengan panjang buffer header. Pada baris 29, HeaderBufferLen  digunakan untuk mengalokasikan buffer dan pada baris 35, Reassembly->nextheder_offset > digunakan untuk mengindeks dan menyalin ke buffer yang dialokasikan.

Karena pemeriksaan ini ditambahkan, kita sekarang tahu ada kondisi yang memungkinkan nextheader_offset  melebihi panjang buffer header. Kita akan pindah ke fungsi yang telah di-patch kedua untuk mencari jawaban lebih lanjut.

IppReceiveEsp

Melihat grafik fungsi berdampingan di ruang kerja Bindiff, kita dapat mengidentifikasi beberapa blok kode baru yang diperkenalkan ke dalam fungsi yang di-patch:

Perbandingan berdampingan dari dua grafik aliran kontrol untuk fungsi IppReceiveEsp. Diagram kiri diberi label ‘primary’ (primer) dengan warna biru, dan diagram kanan diberi label ‘secondary’ (sekunder) dengan warna merah. Kedua diagram berisi blok instruksi perakitan yang saling berhubungan dalam warna krem dan hijau. Diagram sekunder memiliki bagian yang disorot dengan oval merah muda di sekitar dua blok pusat.

Perbandingan grafik fungsi pra dan pasca-patch dari IppReceiveEsp

Gambar di bawah ini menunjukkan dekompilasi fungsi IppReceiveEsp , dengan kotak merah muda mengelilingi kode baru yang ditambahkan oleh patch.

Tangkapan layar kode sumber C++ untuk fungsi IppReceiveEsp. Kode tersebut mencakup deklarasi variabel, pernyataan kondisional, dan panggilan fungsi. Bagian yang disorot dengan warna merah muda menunjukkan blok bersyarat yang memeriksa nilai Packet- > NextHeader dan memanggil IppDiscardReceivedPackets, diikuti dengan pengaturan STATUS_DATA_NOT_ACCEPTED.

Output dekompilasi dari IppReceiveESP

Di sini, pemeriksaan baru ditambahkan untuk memeriksa bidang Next Header dari paket ESP. Bidang Next Header mengidentifikasi header paket ESP yang didekripsi. Ingatlah bahwa nilai Next Header dapat sesuai dengan protokol lapisan atas (seperti TCP atau UDP) atau header ekstensi (seperti header fragmentasi atau header routing). Jika nilai di NextHeader adalah 0, 0x2B, atau 0x2C, IppDiscardReceivedPackets dipanggil dan kode kesalahan diatur ke STATUS_DATA_NOT_ACCEPTED . Nilai-nilai inisesuai dengan Opsi Hop-by-Hop IPv6, Routing Header untuk Ipv6, dan Fragment Header untuk IPv6.

Merujuk kembali ke ESP RFC, itu menyatakan, “Dalam konteks IPv6, ESP dipandang sebagai payload menyeluruh (end-to-end), sehingga harus muncul setelah header ekstensi hop-by-hop, routing, dan fragmentasi”. Sekarang masalahnya menjadi jelas. Jika header jenis ini terkandung dalam payload ESP, itu melanggar RFC protokol, dan paket akan dibuang.

Menyatukan Semuanya

Sekarang, setelah kita mendiagnosis patch dalam dua fungsi yang berbeda, kita dapat mengetahui bagaimana keduanya saling berhubungan. Pada fungsi pertama Ipv6ReassembleDatagram , kami menentukan perbaikannya adalah untuk buffer overflow.

Tangkapan layar kode sumber C++ untuk fungsi Ipv6pReassembleDatagram. Kode tersebut mencakup deklarasi variabel, pemeriksaan kondisi, dan panggilan fungsi. Bagian yang disorot dengan warna merah muda menunjukkan kondisi ‘if (Reassembly- > nextheader_offset == HeaderBufferLen)’ 'di dalam blok if, diikuti oleh logika untuk mengalokasikan dan memproses buffer jaringan.

Keluaran dekompilasi Ipv6ReassembleDatagram

Ingat bahwa ukuran buffer korban dihitung sebagai ukuran header ekstensi, ditambah ukuran header Ipv6 (Baris 10 di atas). Sekarang lihat kembali patch yang disisipkan (Baris 16). Reassembly->nextheader_offset  mengacu pada offset nilai Next Header dari buffer yang menyimpan data untuk fragmen.

Sekarang lihat kembali struktur paket ESP:

Diagram format paket IPsec ESP yang menunjukkan posisi bit 0 hingga 31 di beberapa baris. Bidang termasuk Indeks Parameter Keamanan (SPI), Sequence Number, Payload Data dengan panjang variabel, Padding (0-255 byte), Pad Length, Next Header, dan Integrity Check Value (ICV). Penanda vertikal menunjukkan cakupan integritas dan kerahasiaan

Format Tingkat Atas dari Paket ESP

Perhatikan bahwa bidang Next Header muncul *setelah* Payload Data. Ini berarti bahwa Reassembly->nextheader_offset  akan mencakup ukuran Payload Data, yang dikendalikan oleh ukuran data, dan bisa jauh lebih besar daripada ukuran header ekstensi. Lokasi yang diharapkan dari bidang Next Header ada di dalam header ekstensi atau header Ipv6. Dalam paket ESP, itu tidak berada di dalam header, karena sebenarnya terkandung dalam bagian terenkripsi dari paket.

Diagram yang menjelaskan akar masalah CVE-2022-34718. Menunjukkan struktur paket IPv6 dengan header, payload, padding, dan ICV. Menyoroti ukuran payload yang dikendalikan penyerang dan ketidakcocokan antara posisi Next Header aktual dan yang diharapkan.

Ilustrasi akar masalah CVE-2022-34718

Sekarang lihat kembali baris 35 dari Ipv6ReassembleDatagram , di sinilah penulisan 1 byte di luar batas terjadi (ukuran dan nilai NextHeader ).

Mereproduksi Bug

Kita sekarang tahu bug dapat dipicu dengan mengirimkan datagram terfragmentasi IPv6 melalui paket ESP IPsec.

Pertanyaan selanjutnya untuk dijawab: bagaimana korban dapat mendekripsi paket ESP?

Untuk menjawab pertanyaan ini, pertama-tama saya mencoba mengirim paket ke korban yang berisi Header ESP dengan data sampah dan menempatkan breakpoint pada fungsi IppReceiveEsp yang rentan, untuk melihat apakah fungsi tersebut dapat dicapai. Breakpoint terpicu, tetapi fungsi internal yang saya pikir melakukan dekripsi IppReceiveEspNbl , mengembalikan kesalahan, sehingga kode rentan tidak pernah tercapai. Saya melakukan rekayasa balik IppReceiveEspNbl  lebih lanjut dan berusaha menemukan titik kegagalan. Di sinilah saya belajar bahwa untuk berhasil mendekripsi paket ESP, asosiasi keamanan harus ditetapkan.

Asosiasikeamanan terdiri dari status bersama, terutama kunci dan parameter kriptografi, yang dipertahankan di antara dua titik akhir untuk mengamankan lalu lintas di antara keduanya. Secara sederhana, asosiasi keamanan mendefinisikan bagaimana host akan mengenkripsi/mendekripsi/mengautentikasi lalu lintas yang datang dari/pergi ke host lain. Asosiasi keamanan dapat dibentuk melalui Internet Key Exchange (IKE) atau Protokol IP yang diautentikasi. Intinya, kita membutuhkan cara untuk membangun asosiasi keamanan dengan korban, sehingga korban tahu cara mendekripsi data yang masuk dari penyerang.

Untuk tujuan pengujian, alih-alih menerapkan IKE, saya memutuskan untuk membuat asosiasi keamanan pada korban secara manual. Hal ini dapat dilakukan dengan menggunakan Windows Filtering Platform WinAPI (WFP). Postingan blog Numen menyatakan bahwa tidak mungkin menggunakan WFP untuk manajemen kunci. Namun, hal itu tidak benar dan dengan memodifikasi sampel kode yang disediakan oleh Microsoft, memungkinkan untuk mengatur kunci simetris yang akan digunakan oleh korban untuk mendekripsi paket ESP yang berasal dari IP penyerang.

Eksploitasi

Sekarang setelah korban mengetahui cara mendekripsi lalu lintas ESP dari kita (penyerang), kita dapat membuat paket ESP terenkripsi yang cacat menggunakan scapy. Dengan scapy, kita dapat mengirim paket di lapisan IP. Proses eksploitasinya sederhana:

Tangkapan layar kode Python yang mendefinisikan fungsi eksploitasi. Kode tersebut membangun paket IPv6 dengan alamat sumber, menghitung data_size menggunakan max (frag_size*2, 0x200), membuat permintaan echo ICMPv6, menambahkan fragment header IPv6, dan memecah paket. Sebuah loop memodifikasi bidang Next Header menjadi 0x41 (overflow write), mengenkripsi paket, dan mengirimkannya.

CVE-2022-34718 PoC

Saya membuat satu set paket terfragmentasi dari permintaan ICMPv6 Echo. Kemudian untuk setiap fragmen, itu dienkripsi menjadi lapisan ESP sebelum dikirim.

Primitif

Dari diagram analisis akar masalah yang digambarkan di atas, kita tahu primitif kita memberikan tulisan luar batas di

offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)

Nilai penulisan dapat dikontrol melalui nilai bidang Next Header. Saya menetapkan nilai ini pada baris 36 di eksploitasi saya di atas (0x41 😉).

Denial of Service (DoS)

Merusak hanya satu byte menjadi offset acak dari NetIoProtocolHeader2  pool (di mana buffer target dialokasikan), biasanya tidak segera menyebabkan crash. Kita dapat dengan secara andal merusak target dengan memasukkan header tambahan ke dalam pesan terfragmentasi untuk diurai, atau dengan berulang kali melakukan ping pada target setelah merusak sebagian besar pool.

Keterbatasan yang Harus Diatasi untuk RCE

offset dikendalikan oleh penyerang, tetapi menurut ESP RFC, padding diwajibkan agar bidang Integrity Check Value (ICV) (jika ada) sejajar pada batas 4-byte.

Karena

sizeof(Padding Length) = sizeof(Next Header) = 1,

 

sizeof(Payload Data) + sizeof(Padding) + 2

harus sejajar dengan 4 byte.

Dan karena itu:

offset = 4n - 1

Di mana n dapat berupa bilangan bulat positif, dibatasi oleh fakta bahwa data payload dan padding harus muat dalam satu paket dan oleh karena itu dibatasi oleh MTU (ukuran frame). Ini bermasalah karena berarti pointer penuh tidak dapat diganti. Ini membatasi, tetapi tidak berarti menghalangi; kita masih dapat menimpa offset suatu alamat dalam objek, ukuran, penghitung referensi, dll. Kemungkinan yang tersedia bagi kita bergantung pada objek apa yang dapat di-spray di kernel pool tempat headerBuff korban dialokasikan.

Riset Heap Grooming

Tampilan kode secara detail

Kernel pool yang terpengaruh di WinDbg

Buffer korban di luar batas dialokasikan di pool NetIoProtocolHeader2 . Langkah pertama dalam riset heap grooming adalah: memeriksa jenis objek yang dialokasikan di pool ini, apa yang ada di dalamnya, caranya digunakan, dan cara objek dialokasikan/dibebaskan. Ini akan memungkinkan kita untuk memeriksa bagaimana primitif tulis dapat digunakan untuk mendapatkan kebocoran atau membangun primitif yang lebih kuat. Kita tidak selalu terbatas pada NetIoProtocolHeader2 . Namun, karena posisi korban yang berada di luar batas buff tidak dapat diprediksi, dan alamat pool di sekitarnya diacak, menargetkan pool lain tampak menantang.

Demo

Tonton demo yang mengeksploitasi CVE-2022-34718 'EvilESP' untuk DoS di bawah ini:

Poin Penting

Saat diuraikan seperti ini, bug tersebut tampak cukup sederhana. Namun, butuh beberapa hari panjang melakukan rekayasa balik dan mempelajari tentang berbagai tumpukan dan protokol jaringan untuk memahami gambaran lengkap dan menulis eksploitasi DoS. Banyak peneliti akan mengatakan bahwa mengonfigurasi pengaturan dan memahami lingkungan adalah bagian proses yang paling memakan waktu dan membosankan, dan ini tidak terkecuali. Saya sangat senang bahwa saya memutuskan untuk melakukan proyek singkat ini. Saya memahami Ipv6, IPsec, dan fragmentasi jauh lebih baik sekarang.

Untuk mempelajari bagaimana IBM Security X-Force dapat membantu Anda dengan layanan keamanan ofensif, jadwalkan pertemuan konsultasi gratis di sini: IBM X-Force Scheduler.

Jika Anda mengalami masalah keamanan siber atau insiden, hubungi X-Force untuk membantu: Hotline AS 1-888-241-9812 | Hotline global (+001) 312-212-8034.

