Il Patch Tuesday di settembre ha svelato una vulnerabilità remota critica in
tcpip.sys, CVE-2022-34718. L'avviso di Microsoft recita: "Un aggressore non autenticato potrebbe inviare un pacchetto IPv6 appositamente creato a un nodo Windows dove è abilitato IPsec, il che potrebbe abilitare l'esecuzione remota del codice su quella macchina."
Le vulnerabilità puramente remote di solito suscitano molto interesse, ma anche oltre un mese dopo la patch, nessuna informazione aggiuntiva oltre all'avviso di Microsoft era stata pubblicata. Dal mio punto di vista, era passato molto tempo dall'ultima volta che avevo provato un'analisi binaria delle differenze di patch, quindi ho pensato che sarebbe stato un buon bug per fare un'analisi della causa principale e creare una proof of concept (PoC) per un post sul blog.
Il 21 ottobre dello scorso anno, ho pubblicato un exploit demo e un'analisi della causa principale del bug. Poco dopo, Numen Cyber Labs ha pubblicato un postsul blog e una PoC sulla vulnerabilità utilizzando un metodo di sfruttamento diverso da quello da me utilizzato nella demo.
In questo blog (il mio articolo successivo al video sull'exploit) includerò una spiegazione approfondita del reverse engineering del bug e correggo alcune imprecisioni che ho trovato nel blog di Numen Cyber Labs.
Nelle sezioni successive, spiego il reverse engineering della patch per CVE-2022-34718, i protocolli interessati, l'identificazione del bug e la sua riproduzione. Svelerò come impostare un ambiente di test e scriverò un exploit per attivare il bug e causare un DoS (Denial-of-Service). Infine, esaminerò le primitive di exploit e illustrerò i prossimi passi per trasformarle in esecuzione remota di codice (RCE).
L'avviso di Microsoft non contiene dettagli specifici sulla vulnerabilità, se non che è contenuta nel driver TCP/IP e richiede che IPsec sia abilitata. Per identificare la causa specifica della vulnerabilità, confronteremo il binario patchato con quello pre-patch e cercheremo di estrarre la "diff"(erenza) usando uno strumento chiamato BinDiff.
Ho usato Winbindex per ottenere due versioni di tcpip.sys: una subito prima della patch e una subito dopo, entrambe per la stessa versione di Windows. Ottenere versioni sequenziali dei binari è importante, poiché anche usando versioni a pochi aggiornamenti di distanza può introdurre rumore dovuto a differenze non legate alla patch e farti perdere tempo durante l'analisi. Winbindex ha reso l'analisi delle patch più semplice che mai, poiché puoi ottenere qualsiasi binario di Windows a partire da Windows 10. Ho caricato entrambi i file in Ghidra, applicato i file Program Database (pdb) e eseguito l'analisi automatica (il controllo aggressivo del cercatore di istruzioni funziona meglio). Successivamente, i file possono essere esportati in un formato BinExport utilizzando l'estensione BinExport for Ghidra. I file possono quindi essere caricati in BinDiff per creare un diff e iniziare ad analizzarne le differenze:
Riepilogo di BinDiff che confronta i binari precedenti e successivi alla patch
BinDiff funziona abbinando le funzioni nei binari confrontati utilizzando vari algoritmi. In questo caso, abbiamo applicato le informazioni sui simboli delle funzioni di Microsoft, in modo che tutte le funzioni possano essere abbinate per nome.
Elenco delle funzioni corrispondenti ordinate per similarità
Qui sopra vediamo che ci sono solo due funzioni che hanno una similarità inferiore al 100%. Le due funzioni che sono state modificate dalla patch sono
Ricercheprecedenti mostrano che
gestisce il riassemblaggio di pacchetti frammentati Ipv6.
Il nome della funzione
sembra indicare che questa funzione gestisce la ricezione dei pacchetti IPsec ESP.
Prima di addentrarmi nella patch, parlerò brevemente della frammentazione IPv6 e di IPsec. Una conoscenza generale di queste strutture di pacchetti sarà utile quando si tenterà di effettuare il reverse engineering della patch.
Un pacchetto IPv6 può essere suddiviso in frammenti con ogni frammento inviato come pacchetto separato. Una volta che tutti i frammenti raggiungono la destinazione, il ricevitore li riassembla per formare il pacchetto originale.
Il diagramma qui sotto illustra la frammentazione:
Illustrazione della frammentazione Ipv6
Secondo RFC, la frammentazione viene implementata tramite un'intestazione di estensione chiamata intestazione Fragment, che ha il seguente formato:
Formato dell'intestazione del frammento Ipv6
Dove il campo Next Header è il tipo di header presente nei dati frammentati.
IPsec è un gruppo di protocolli utilizzati insieme per stabilire connessioni criptate. Viene spesso utilizzato per configurare reti private virtuali (VPN). Dalla prima parte dell'analisi delle patch, sappiamo che il bug è legato all'elaborazione dei pacchetti ESP, quindi ci concentreremo sul protocollo Encapsulating Security Payload (ESP).
Come suggerisce il nome, il protocollo ESP crittografa (incapsula) il contenuto di un pacchetto. Ci sono due modalità: in modalità tunnel, una copia dell'intestazione IP è contenuta nel payload cifrato, mentre in modalità trasporto solo la parte del pacchetto a livello di trasporto è criptata. Come la frammentazione IPv6, l'ESP è implementato come un'intestazione di estensione. Secondo la RFC, un pacchetto ESP è formattato come segue:
Formato di livello superiore di un pacchetto ESP.
Dove i campi Security Parameters Index (SPI) e Sequence Number comprendono l'intestazione dell'estensione ESP e i campi compresi tra Payload Data e Next Header sono crittografati. Il campo Next Header descrive l'intestazione contenuta in Payload Data.
Ora, con un'introduzione alla frammentazione Ipv6 e all'ESP IPSec, possiamo continuare l'analisi delle differenze delle patch analizzando le due funzioni che abbiamo scoperto sono state patchate
Confrontando i grafici di funzioni affiancati, possiamo vedere che un singolo nuovo blocco di codice è stato introdotto nella funzione patchata:
Confronto affiancato dei grafici delle funzioni pre e post patch di Ipv6ReassembleDatagram
Diamo un'occhiata più da vicino al blocco:
Nuovo blocco di codice nella funzione patchata
Il nuovo blocco di codice fa un confronto tra due interi senza segno (nei registri EAX ed EDX) e salta a un blocco se un valore è inferiore all'altro. Diamo un'occhiata a quel blocco di destinazione:
Il codice di destinazione ha una chiamata incondizionata alla funzione
Sapendo questo, possiamo eseguire un'analisi statica in un decompilatore.
0vercl0ck aveva già pubblicato un postsul blog in cui analizzava le vulnerabilità su un'altra vulnerabilità Ipv6 e ha approfondito il reverse engineering di tcpip.sys. Grazie a questo lavoro e a un po' di reverse engineering aggiuntivo, sono stato in grado di compilare le definizioni delle strutture per i componenti non documentati di
Output di decompilazione di Ipv6ReassembleDatagram
Nel frammento di codice soprastante, il riquadro rosa circonda il nuovo codice aggiunto dalla patch.
Poiché questo controllo è stato aggiunto, ora sappiamo che c'era una condizione che permetteva di
Osservando il grafo di funzioni affiancato nello spazio di lavoro di BinDiff, possiamo identificare alcuni nuovi blocchi di codice introdotti nella funzione patchata:
Confronto affiancato dei grafici delle funzioni pre e post patch di IppReceiveEsp
L'immagine sottostante mostra la decompilazione della funzione
Output di decompilazione di IppReceiveESP
Qui, è stato aggiunto un nuovo controllo per esaminare il campo Next Header del pacchetto ESP. Il campo Next Header identifica l'intestazione del pacchetto ESP decifrato. Ricorda che un valore Next Header può corrispondere a un protocollo di livello superiore (come TCP o UDP) o a un'intestazione di estensione (come header di frammentazione o routing header). Se il valore in
è 0, 0x2B o 0x2C,
viene chiamato e il codice di errore viene impostato su
. Questi valori corrispondono rispettivamente a IPv6 Hop-by-Hop Option, Routing Header per IPv6 e Fragment Header per IPv6.
Riferendosi all'ESP RFC, afferma: "Nel contesto IPv6, l'ESP è considerato un payload end-to-end, e quindi dovrebbe apparire dopo gli header di estensione hop-by-hop, routing e frammentazione." Ora il problema diventa chiaro. Se un'intestazione di questi tipi è contenuta in un payload ESP, viola l'RFC del protocollo e il pacchetto verrà scartato.
Ora che abbiamo diagnosticato i patch in due funzioni diverse, possiamo capire come sono collegati. Nella prima funzione
Output di decompilazione di Ipv6ReassembleDatagram
Ricordiamo che la dimensione del buffer vittima viene calcolata come la dimensione delle intestazioni di estensione, più la dimensione di un'intestazione Ipv6 (Riga 10 sopra). Ora torna alla patch inserita (riga 16).
Ora torniamo alla struttura di un pacchetto ESP:
Formato di livello superiore di un pacchetto ESP
Nota che il campo Next Header arriva *dopo* Dati del Payload. Questo significa che
Causa principale illustrata di CVE-2022-34718
Ora fai riferimento alla riga 35 di
Ora sappiamo che il bug può essere attivato inviando un datagramma frammentato IPv6 tramite pacchetti ESP IPsec.
La domanda successiva a cui rispondere è: come farà la vittima a decifrare i pacchetti ESP?
Per rispondere a questa domanda, ho prima provato a inviare pacchetti a una vittima contenenti un ESP Header con dati indesiderati e ho impostato un punto di interruzione sui vulnerabili
funzione, per vedere se la funzione può essere raggiunta. Il punto di interruzione è stato raggiunto, ma la funzione interna che pensavo avesse eseguito la decifratura
Ho ulteriormente effettuato il reverse engineering
Qui ho imparato che, per decifrare con successo un pacchetto ESP, deve essere stabilita un'associazione di sicurezza.
Un'associazione di sicurezza è costituita da uno stato condiviso, costituito principalmente da chiavi e parametri crittografici, mantenuto tra due endpoint per proteggere il traffico tra di essi. In termini semplici, un'associazione di sicurezza definisce il modo in cui un host cripterà/decripterà/autenticherà il traffico proveniente da/verso un altro host. Le associazioni di sicurezza possono essere stabilite tramite Internet Key Exchange (IKE) o Authenticated IP Protocol. In sostanza, abbiamo bisogno di un modo per stabilire un'associazione di sicurezza con la vittima, così che sappia come decriptare i dati in arrivo dall'attaccante.
Per scopi di test, invece di implementare IKE, ho deciso di creare manualmente un'associazione di sicurezza sulla vittima. Ciò può essere fatto utilizzando Windows Filtering Platform WinAPI (WFP). Il post sul blog di Numen affermava che non è possibile usare il WFP per la gestione delle chiavi segrete. Tuttavia, ciò è errato, e, modificando il codice di esempio fornito da Microsoft, è possibile impostare una chiave simmetrica che la vittima userà per decifrare i pacchetti ESP provenienti dall'IP dell'attaccante.
Ora che la vittima sa come decifrare il traffico ESP da noi (l'attaccante), possiamo costruire pacchetti ESP criptati e malformati usando scapy. Usando scapy possiamo inviare pacchetti a livello IP. Il processo di sfruttamento è semplice:
CVE-2022-34718 PoC
Creo un insieme di pacchetti frammentati da una richiesta Echo ICMPv6. Poi, per ogni frammento, vengono crittografati in un livello ESP prima dell'invio.
Dal diagramma di analisi della causa principale raffigurato sopra, sappiamo che la nostra primitiva ci fornisce una scrittura fuori dai limiti in
offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)
Il valore della scrittura è controllabile tramite il valore del campo Next Header. Ho impostato questo valore sulla linea 36 nel mio utilizzare qui sopra (0x41 😉).
Corrompere solo un byte in un offset casuale di
NetIoProtocolHeader2
è controllato dall'aggressore, tuttavia secondo l'RFC ESP, è necessario un padding in modo che il campo Integrity Check Value (ICV) (se presente) sia allineato su un boundary di 4 byte.
Poiché
sizeof(Padding Length) = sizeof(Next Header) = 1,
sizeof(Payload Data) + sizeof(Padding) + 2
deve essere allineato a 4 byte.
E quindi:
offset = 4n - 1
Dove n può essere un intero positivo, vincolato dal fatto che i dati del payload e il padding devono rientrare in un singolo pacchetto ed è quindi limitato da MTU (dimensione del frame). Ciò è problematico perché significa che i puntatori completi non possono essere sovrascritti. Questo è limitante, ma non necessariamente proibitivo; possiamo comunque sovrascrivere l'offset di un indirizzo in un oggetto, una dimensione, un contatore di riferimento, ecc. Le possibilità a nostra disposizione dipendono da quali oggetti possono essere spruzzati nel pool del kernel in cui è allocato l'
headerBuff della vittima.
Il pool di kernel interessato in WinDbg
Il buffer fuori limite della vittima è allocato nel
pool. I primi passi della ricerca sull'heap grooming sono: esaminare il tipo di oggetti allocati in questo pool, cosa contengono, come vengono utilizzati e come gli oggetti vengono allocati/liberati. Questo ci permetterà di esaminare come la primitiva di scrittura possa essere utilizzata per ottenere una perdita o costruire una primitiva più forte. Non siamo necessariamente limitati a
. Tuttavia, poiché la posizione della vittima fuori dai limiti del buffer non può essere prevista e l'indirizzo dei pool circostanti è casuale, colpire altri pool sembra una sfida.
Guarda la demo che utilizza CVE-2022-34718 'EvilESP' per DoS (Denial-of-Service) di seguito:
Se spiegato in questo modo, il bug sembra piuttosto semplice. Tuttavia, sono stati necessari diversi giorni di reverse engineering e di apprendimento di vari stack e protocolli di rete per comprendere il quadro completo e scrivere un exploit DoS. Molti ricercatori affermano che la configurazione e la comprensione dell'ambiente sono la parte più lunga e noiosa del processo, e questo non fa eccezione. Sono molto contento di aver deciso di realizzare questo breve progetto; ora capisco molto meglio IPv6, IPsec e la frammentazione.
