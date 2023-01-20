Patch Tuesday bulan September mengungkap kerentanan jarak jauh penting di
tcpip.sys, CVE-2022-34718. Pemberitahuan dari Microsoft menyampaikan: “Seorang penyerang yang tidak diautentikasi dapat mengirim paket IPv6 yang dibuat khusus ke node Windows di mana IPsec diaktifkan, yang memungkinkan eksploitasi eksekusi kode jarak jauh pada mesin itu”.
Kerentanan jarak jauh murni biasanya menghasilkan banyak minat, tetapi bahkan lebih dari sebulan setelah patching, tidak ada informasi tambahan di luar pemberitahuan Microsoft yang diterbitkan secara publik. Dari sisi saya, sudah lama sejak saya mencoba melakukan analisis perbedaan patch biner, jadi saya pikir ini akan menjadi bug yang bagus untuk melakukan analisis akar masalah dan membuat bukti konsep (POC) untuk postingan blog.
Pada 21 Oktober tahun lalu, saya memposting eksploitasi demo dan analisis akar masalah dari bug tersebut. Tak lama kemudian, sebuah postingan blog dan PoC diterbitkan oleh Numen Cyber Labs tentang kerentanan tersebut, menggunakan metode eksploitasi yang berbeda dari yang saya gunakan dalam demo saya.
Di blog ini, artikel tindak lanjut dari video eksploitasi, saya menyertakan penjelasan mendalam tentang rekayasa balik bug dan memperbaiki beberapa ketidakakuratan yang saya temukan di blog Numen Cyber Labs.
Di bagian berikut, saya akan membahas rekayasa balik patch untuk CVE-2022-34718, protokol yang terpengaruh, mengidentifikasi bug, dan mereproduksinya. Saya akan menguraikan pengaturan lingkungan pengujian dan menulis eksploitasi untuk memicu bug dan menyebabkan Denial of Service (DoS). Akhirnya, saya akan melihat primitif eksploitasi dan menguraikan langkah selanjutnya untuk mengubah primitif menjadi eksekusi kode jarak jauh (RCE).
Pemberitahuan Microsoft tidak berisi rincian spesifik tentang kerentanan kecuali bahwa hal itu terkandung dalam driver TCP/IP dan mengharuskan IPsec diaktifkan. Untuk mengidentifikasi penyebab spesifik kerentanan, kita akan membandingkan biner yang di-patch dengan biner sebelum patching dan mencoba mengekstrak “diff” (perbandingan) menggunakan alat yang disebut BinDiff.
Saya menggunakan Winbindex untuk mendapatkan dua versi tcpip.sys: satu tepat sebelum patch dan satu tepat setelahnya, keduanya untuk versi Windows yang sama. Mendapatkan versi berurutan dari biner itu penting, karena bahkan menggunakan versi beberapa pembaruan terpisah dapat menimbulkan gangguan akibat perbedaan yang tidak terkait dengan patch, sehingga membuang waktu saat Anda melakukan analisis. Winbindex telah membuat analisis patch lebih mudah dari sebelumnya, karena Anda dapat memperoleh biner Windows apa pun mulai dari Windows 10. Saya memuat kedua file tersebut di Ghidra, menerapkan file Program Database (pdb), dan menjalankan analisis otomatis (mencentang opsi Aggressive Instruction Finder bekerja paling baik). Setelah itu, file dapat diekspor ke dalam format BinExport menggunakan ekstensi BinExport untuk Ghidra. File-file tersebut kemudian dapat dimuat ke Bindiff untuk membuat perbandingan dan mulai menganalisis perbedaannya:
Ringkasan Bindiff membandingkan biner pra dan pasca-patch
Bindiff bekerja dengan mencocokkan fungsi dalam biner yang dibandingkan menggunakan berbagai algoritma. Dalam hal ini di sana, kami telah menerapkan informasi simbol fungsi dari Microsoft, sehingga semua fungsi dapat dicocokkan berdasarkan nama.
Daftar fungsi yang cocok diurutkan berdasarkan kesamaan
Di atas kita lihat hanya ada dua fungsi yang memiliki kesamaan kurang dari 100%. Dua fungsi yang diubah oleh patch adalah
Penelitian sebelumnya menunjukkan fungsi
menangani perakitan kembali paket terfragmentasi Ipv6.
Nama fungsi
tampaknya mengindikasikan fungsi ini menangani penerimaan paket IPsec ESP.
Sebelum menyelami patch, saya akan membahas secara singkat fragmentasi Ipv6 dan IPsec. Memiliki pemahaman umum tentang struktur paket ini akan membantu ketika mencoba merekayasa balik patch.
Paket IPv6 dapat dibagi menjadi fragmen dengan setiap fragmen dikirim sebagai paket terpisah. Setelah semua fragmen mencapai tujuan, penerima merakitnya kembali untuk membentuk paket asli.
Diagram di bawah ini menggambarkan fragmentasi:
Ilustrasi fragmentasi Ipv6
Menurut RFC, fragmentasi diimplementasikan melalui Extension Header yang disebut Fragment Header, yang memiliki format berikut:
Format Fragment Header Ipv6
Dimana bidang Next Header adalah jenis header yang ada dalam data terfragmentasi.
IPsec adalah sekelompok protokol yang digunakan bersama untuk mengatur koneksi terenkripsi. Protokol ini sering digunakan untuk mengatur Jaringan Privat Virtual (VPN). Dari bagian pertama analisis patch, kita tahu bug terkait dengan pemrosesan paket ESP, jadi kita akan fokus pada protokol Encapsulating Security Payload (ESP).
Seperti namanya, protokol ESP mengenkripsi (merangkum) isi paket. Ada dua mode: dalam mode tunnel , salinan header IP terkandung dalam payload terenkripsi, dan dalam mode transport di mana hanya bagian lapisan transport dari paket yang dienkripsi. Seperti fragmentasi IPv6, ESP diimplementasikan sebagai header ekstensi. Menurut RFC, paket ESP diformat sebagai berikut:
Format Tingkat Atas dari Paket ESP.
Di mana kolom Security Parameters Index (SPI) dan Sqeuence Number memberntuk header ekstensi ESP, dan bidang antara dan termasuk Payload Data dan Next Header dienkripsi. Bidang Next Header menjelaskan header yang terkandung dalam Payload Data.
Sekarang dengan primer Fragmentasi Ipv6 dan IPsec ESP, kita dapat melanjutkan analisis patch diff dengan menganalisis dua fungsi yang kami temukan telah di-patch.
Membandingkan grafik fungsi secara berdampingan, kita dapat melihat bahwa satu blok kode baru telah disertakan ke dalam fungsi yang di-patch:
Perbandingan berdampingan dari grafik fungsi pra dan pasca-patch dari IPv6reassembleDataGram
Mari kita lihat blok kode lebih dekat:
Blok kode baru dalam fungsi yang di-patch
Blok kode baru melakukan perbandingan dua bilangan bulat tanpa tanda tangan (dalam register EAX dan EDX) dan melompat ke sebuah blok jika satu nilai kurang dari yang lain. Mari kita lihat blok tujuan tersebut:
Kode target memiliki panggilan tanpa syarat ke fungsi
Dengan wawasan ini, kita dapat melakukan analisis statis dalam dekompiler.
Sebelumnya, 0vercl0ck telah menerbitkan postinganblog tentang analisis kerentanan pada kerentanan IPv6 yang berbeda dan membahas secara mendalam rekayasa balik tcpip.sys. Dari analisis tersebut dan beberapa rekayasa balik tambahan, saya dapat mengisi definisi struktur untuk objek yang tidak terdokumentasi
Keluaran dekompilasi Ipv6ReassembleDatagram
Dalam cuplikan kode di atas, kotak merah muda mengelilingi kode baru yang ditambahkan oleh patch.
Karena pemeriksaan ini ditambahkan, kita sekarang tahu ada kondisi yang memungkinkan
Melihat grafik fungsi berdampingan di ruang kerja Bindiff, kita dapat mengidentifikasi beberapa blok kode baru yang diperkenalkan ke dalam fungsi yang di-patch:
Perbandingan grafik fungsi pra dan pasca-patch dari IppReceiveEsp
Gambar di bawah ini menunjukkan dekompilasi fungsi
Output dekompilasi dari IppReceiveESP
Di sini, pemeriksaan baru ditambahkan untuk memeriksa bidang Next Header dari paket ESP. Bidang Next Header mengidentifikasi header paket ESP yang didekripsi. Ingatlah bahwa nilai Next Header dapat sesuai dengan protokol lapisan atas (seperti TCP atau UDP) atau header ekstensi (seperti header fragmentasi atau header routing). Jika nilai di
adalah 0, 0x2B, atau 0x2C,
dipanggil dan kode kesalahan diatur ke
. Nilai-nilai inisesuai dengan Opsi Hop-by-Hop IPv6, Routing Header untuk Ipv6, dan Fragment Header untuk IPv6.
Merujuk kembali ke ESP RFC, itu menyatakan, “Dalam konteks IPv6, ESP dipandang sebagai payload menyeluruh (end-to-end), sehingga harus muncul setelah header ekstensi hop-by-hop, routing, dan fragmentasi”. Sekarang masalahnya menjadi jelas. Jika header jenis ini terkandung dalam payload ESP, itu melanggar RFC protokol, dan paket akan dibuang.
Sekarang, setelah kita mendiagnosis patch dalam dua fungsi yang berbeda, kita dapat mengetahui bagaimana keduanya saling berhubungan. Pada fungsi pertama
Keluaran dekompilasi Ipv6ReassembleDatagram
Ingat bahwa ukuran buffer korban dihitung sebagai ukuran header ekstensi, ditambah ukuran header Ipv6 (Baris 10 di atas). Sekarang lihat kembali patch yang disisipkan (Baris 16).
Sekarang lihat kembali struktur paket ESP:
Format Tingkat Atas dari Paket ESP
Perhatikan bahwa bidang Next Header muncul *setelah* Payload Data. Ini berarti bahwa
Ilustrasi akar masalah CVE-2022-34718
Sekarang lihat kembali baris 35 dari
Kita sekarang tahu bug dapat dipicu dengan mengirimkan datagram terfragmentasi IPv6 melalui paket ESP IPsec.
Pertanyaan selanjutnya untuk dijawab: bagaimana korban dapat mendekripsi paket ESP?
Untuk menjawab pertanyaan ini, pertama-tama saya mencoba mengirim paket ke korban yang berisi Header ESP dengan data sampah dan menempatkan breakpoint pada fungsi
yang rentan, untuk melihat apakah fungsi tersebut dapat dicapai. Breakpoint terpicu, tetapi fungsi internal yang saya pikir melakukan dekripsi
, mengembalikan kesalahan, sehingga kode rentan tidak pernah tercapai. Saya melakukan rekayasa balik
lebih lanjut dan berusaha menemukan titik kegagalan. Di sinilah saya belajar bahwa untuk berhasil mendekripsi paket ESP, asosiasi keamanan harus ditetapkan.
Asosiasikeamanan terdiri dari status bersama, terutama kunci dan parameter kriptografi, yang dipertahankan di antara dua titik akhir untuk mengamankan lalu lintas di antara keduanya. Secara sederhana, asosiasi keamanan mendefinisikan bagaimana host akan mengenkripsi/mendekripsi/mengautentikasi lalu lintas yang datang dari/pergi ke host lain. Asosiasi keamanan dapat dibentuk melalui Internet Key Exchange (IKE) atau Protokol IP yang diautentikasi. Intinya, kita membutuhkan cara untuk membangun asosiasi keamanan dengan korban, sehingga korban tahu cara mendekripsi data yang masuk dari penyerang.
Untuk tujuan pengujian, alih-alih menerapkan IKE, saya memutuskan untuk membuat asosiasi keamanan pada korban secara manual. Hal ini dapat dilakukan dengan menggunakan Windows Filtering Platform WinAPI (WFP). Postingan blog Numen menyatakan bahwa tidak mungkin menggunakan WFP untuk manajemen kunci. Namun, hal itu tidak benar dan dengan memodifikasi sampel kode yang disediakan oleh Microsoft, memungkinkan untuk mengatur kunci simetris yang akan digunakan oleh korban untuk mendekripsi paket ESP yang berasal dari IP penyerang.
Sekarang setelah korban mengetahui cara mendekripsi lalu lintas ESP dari kita (penyerang), kita dapat membuat paket ESP terenkripsi yang cacat menggunakan scapy. Dengan scapy, kita dapat mengirim paket di lapisan IP. Proses eksploitasinya sederhana:
CVE-2022-34718 PoC
Saya membuat satu set paket terfragmentasi dari permintaan ICMPv6 Echo. Kemudian untuk setiap fragmen, itu dienkripsi menjadi lapisan ESP sebelum dikirim.
Dari diagram analisis akar masalah yang digambarkan di atas, kita tahu primitif kita memberikan tulisan luar batas di
offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)
Nilai penulisan dapat dikontrol melalui nilai bidang Next Header. Saya menetapkan nilai ini pada baris 36 di eksploitasi saya di atas (0x41 😉).
Merusak hanya satu byte menjadi offset acak dari
NetIoProtocolHeader2
dikendalikan oleh penyerang, tetapi menurut ESP RFC, padding diwajibkan agar bidang Integrity Check Value (ICV) (jika ada) sejajar pada batas 4-byte.
Karena
sizeof(Padding Length) = sizeof(Next Header) = 1,
sizeof(Payload Data) + sizeof(Padding) + 2
harus sejajar dengan 4 byte.
Dan karena itu:
offset = 4n - 1
Di mana n dapat berupa bilangan bulat positif, dibatasi oleh fakta bahwa data payload dan padding harus muat dalam satu paket dan oleh karena itu dibatasi oleh MTU (ukuran frame). Ini bermasalah karena berarti pointer penuh tidak dapat diganti. Ini membatasi, tetapi tidak berarti menghalangi; kita masih dapat menimpa offset suatu alamat dalam objek, ukuran, penghitung referensi, dll. Kemungkinan yang tersedia bagi kita bergantung pada objek apa yang dapat di-spray di kernel pool tempat
headerBuff korban dialokasikan.
Kernel pool yang terpengaruh di WinDbg
Buffer korban di luar batas dialokasikan di pool
. Langkah pertama dalam riset heap grooming adalah: memeriksa jenis objek yang dialokasikan di pool ini, apa yang ada di dalamnya, caranya digunakan, dan cara objek dialokasikan/dibebaskan. Ini akan memungkinkan kita untuk memeriksa bagaimana primitif tulis dapat digunakan untuk mendapatkan kebocoran atau membangun primitif yang lebih kuat. Kita tidak selalu terbatas pada
. Namun, karena posisi korban yang berada di luar batas buff tidak dapat diprediksi, dan alamat pool di sekitarnya diacak, menargetkan pool lain tampak menantang.
Tonton demo yang mengeksploitasi CVE-2022-34718 'EvilESP' untuk DoS di bawah ini:
Saat diuraikan seperti ini, bug tersebut tampak cukup sederhana. Namun, butuh beberapa hari panjang melakukan rekayasa balik dan mempelajari tentang berbagai tumpukan dan protokol jaringan untuk memahami gambaran lengkap dan menulis eksploitasi DoS. Banyak peneliti akan mengatakan bahwa mengonfigurasi pengaturan dan memahami lingkungan adalah bagian proses yang paling memakan waktu dan membosankan, dan ini tidak terkecuali. Saya sangat senang bahwa saya memutuskan untuk melakukan proyek singkat ini. Saya memahami Ipv6, IPsec, dan fragmentasi jauh lebih baik sekarang.
