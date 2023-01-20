Il Patch Tuesday di settembre ha svelato una vulnerabilità remota critica in tcpip.sys , CVE-2022-34718. L'avviso di Microsoft recita: "Un aggressore non autenticato potrebbe inviare un pacchetto IPv6 appositamente creato a un nodo Windows dove è abilitato IPsec, il che potrebbe abilitare l'esecuzione remota del codice su quella macchina."

Le vulnerabilità puramente remote di solito suscitano molto interesse, ma anche oltre un mese dopo la patch, nessuna informazione aggiuntiva oltre all'avviso di Microsoft era stata pubblicata. Dal mio punto di vista, era passato molto tempo dall'ultima volta che avevo provato un'analisi binaria delle differenze di patch, quindi ho pensato che sarebbe stato un buon bug per fare un'analisi della causa principale e creare una proof of concept (PoC) per un post sul blog.

Il 21 ottobre dello scorso anno, ho pubblicato un exploit demo e un'analisi della causa principale del bug. Poco dopo, Numen Cyber Labs ha pubblicato un postsul blog e una PoC sulla vulnerabilità utilizzando un metodo di sfruttamento diverso da quello da me utilizzato nella demo.

In questo blog (il mio articolo successivo al video sull'exploit) includerò una spiegazione approfondita del reverse engineering del bug e correggo alcune imprecisioni che ho trovato nel blog di Numen Cyber Labs.

Nelle sezioni successive, spiego il reverse engineering della patch per CVE-2022-34718, i protocolli interessati, l'identificazione del bug e la sua riproduzione. Svelerò come impostare un ambiente di test e scriverò un exploit per attivare il bug e causare un DoS (Denial-of-Service). Infine, esaminerò le primitive di exploit e illustrerò i prossimi passi per trasformarle in esecuzione remota di codice (RCE).