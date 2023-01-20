セキュリティー

TCP/IP RCE脆弱性「EvilESP」の検知とエクスプロイト

中央に鍵が付いた盾を持っている2人のイラスト

9月のパッチチューズデーは、tcpip.sysのリモートでクリティカルな脆弱性を明らかにしました。CVE-2022-34718。マイクロソフトが作成した助言には次のように記載されています。「認証されていない攻撃者が、IPsecが有効になっているWindowsノードに特別なIPv6パケットを送信する可能性があり、そのマシン上でリモートコード実行のエクスプロイテーションが可能になる可能性があります。」

純粋なリモート脆弱性は通常、多くの関心を集めますが、パッチ適用後1カ月以上が経過した今でも、Microsoft社の勧告以外の追加情報は公開されていませんでした。私からすると、バイナリー・パッチのDiff分析を試みてからかなり時間が経っていたので、これは根本原因分析を行い、ブログ記事のPoC（概念実証）を作成するのに良いバグではないかと考えました。

昨年10月21日、私はエクスプロイトデモと根本原因の分析を投稿した。その直後、Numen Cyber Labsによって、私がデモで使用したのとは異なるエクスプロイテーション方法を用いた脆弱性に関するブログ記事とPoCが公開されました。

このブログでは、エクスプロイト・ビデオの後続記事として、バグのリバース・エンジニアリングについて詳しく説明し、Numen Cyber Labsのブログで見つけたいくつかの不正確な点について修正します。

以下のセクションでは、CVE-2022-34718 のパッチのリバースエンジニアリング、影響を受けるプロトコル、バグの特定、再現について説明します。テスト環境のセットアップの概要を説明し、バグをトリガーしてサービス拒否（DoS）を引き起こすエクスプロイトを作成します。最後に、エクスプロイト・プリミティブを見て、プリミティブをリモート・コード実行（RCE）に変えるための次のステップの概要を説明します。

パッチのディフィング

Microsoftの助言には、この脆弱性がTCP/IPドライバーに含まれており、IPsecを有効にする必要があることを除いて、具体的な脆弱性の詳細は含まれていません。脆弱性の具体的な原因を特定するために、パッチを当てたバイナリとパッチを当てる前のバイナリを比較し、BinDiffというツールを使って「差分」（erence）を抽出してみます。

Winbindexを使用して、tcpip.sys の 2 つのバージョンを取得しました。パッチ適用前の 1 つとその直後の 1 つです。どちらも同じバージョンのWindows用です。バイナリーの連続バージョンを取得することが重要です。数個の更新だけ離れたバージョンを使用すると、パッチに無関係な差分からノイズが発生する可能性があり、分析中に時間が無駄になる可能性があるためです。Winbindexでは、Windows 10から始まるWindowsバイナリーを取得できるため、パッチ分析がこれまで以上に簡単になっています。両方のファイルをGhidraにロードし、プログラムデータベース (pdb) ファイルを適用して、自動分析を実行しました (アグレッシブ命令ファインダーをチェックすると最適に機能します)。その後、ファイルはGhidraの拡張子BinExportを使ってBinExport形式にエクスポートできます。その後、ファイルをBinDiffにロードしてdiffを作成し、その差異の分析を開始できます。

BinDiffを使用した2つのシステム・ファイルの比較ビュー。tcpip_old.sysとtcpip_new.sysの間で100%一致した関数が表示されています。円形図、0.99の類似スコア、ほぼ同一の機能の類似性を示す棒グラフが含まれています。パス、ハッシュ、アーキテクチャ (x86-64)、関数数 (5487) などのファイルの詳細が表示されます。

パッチ適用前とパッチ適用後のバイナリーを比較するBinDiffのサマリー

BinDiffは、さまざまなアルゴリズムを使用して、比較されるバイナリー内の関数を照合することによって機能します。このケースでは、Microsoftからの機能シンボル情報を適用しているため、すべての機能を名前で一致させることができます。

2つのシステム・ファイル間の一致した関数を詳細に比較したもので、基本ブロックとジャンプの類似性は100％、命令の違いは158.2％でした。円形図、0.99の類似性スコア、棒グラフが含まれています。以下の表には、類似性、信頼度、一次名と二次名、所在地、タイプ、基本ブロック、およびジャンプの列を持つ5,487の一致した関数がリストされており、類似性が高いことを緑で強調表示されています。

類似度によって分類された一致する関数のリスト

上図には、類似性が100%未満の関数が2つだけあることがわかります。パッチによって変更された2つの機能は次のとおりです。IppReceiveEsp およびIpv6pReassembleDatagram .

脆弱性根本原因分析

過去の研究では、Ipv6pReassembleDatagram 関数は、フラグメント化された IPv6 パケットの再構成を処理します。

関数名IppReceiveEsp は、この関数が IPsec ESP パケットの受信を処理することを示しているようです。

パッチを見る前に、Ipv6のフラグメント化とIPsecについて簡単に説明します。これらのパケット構造を一般的に理解すると、パッチのリバース・エンジニアリングを試みる際に役立ちます。

IPv6断片化:

IPv6 パケットはフラグメントに分割でき、各フラグメントは個別のパケットとして送信されます。すべてのフラグメントが宛先に到達すると、受信者はそれらを再組み立てして元のパケットを形成します。

以下の図は、フラグメント化を示しています。

IPv6パケットのフラグメント化を示す図。元のパケットには、IPv6ヘッダー、オプションの拡張ヘッダー、TCPヘッダー、およびTCPペイロードが含まれています。これは3つのフラグメント・パケットに分割され、それぞれに独自のIPv6ヘッダー、オプションの拡張ヘッダー、フラグメント・ヘッダー、および#1、#2、および#3のラベル付きフラグメントがあります。

IPv6フラグメント化の図

RFCによると、フラグメンテーションはFragmentヘッダーと呼ばれる拡張ヘッダーによって実装されます。形式は以下の通りです。

2 行にわたるビット位置 0 から 31 を示す IPv6 フラグメント・ヘッダー形式の図。フィールドには、次のヘッダー、予約、フラグメント・オフセット、ResとMというラベルの付いた2つの単一ビット・フィールド、および2行にわたる大きな識別フィールドが含まれます。

Ipv6フラグメントヘッダーフォーマット

ここで、Next Header フィールドは、断片化されたデータに存在するヘッダーのタイプです。

IPsec（ESP）：

IPsecは、暗号化された接続を確立するために一緒に使用されるプロトコルのグループです。これは、仮想プライベート・ネットワーク（VPN）をセットアップするためによく使用されます。パッチ分析の最初の部分から、バグがESPパケットの処理に関連していることがわかっているため、Encaps重大セキュリティー・ペイロード（ESP）プロトコルに焦点を当てます。

その名前が示すように、ESPプロトコルはパケットの内容を暗号化（カプセル化）します。モードは2つあります。トンネルモードでは、IPヘッダーのコピーが暗号化されたペイロードに含まれ、もう1つのトランスポートモードではパケットのトランスポート層部分のみが暗号化されます。IPv6フラグメント化と同様、ESPは拡張ヘッダーとして実装されます。RFCによると、ESPパケットは次のようにフォーマットされます。

ESPパケットのトップレベル形式

セキュリティパラメータインデックス (SPI) フィールドとシーケンス番号フィールドが ESP 拡張ヘッダーを構成し、ペイロードデータとネクストヘッダーとの間のフィールドとシーケンス番号フィールドが暗号化されます。次のヘッダー・フィールドには、ペイロード・データに含まれるヘッダーが記述されています。

Ipv6 FragmentationとIPsec ESPの入門を踏まえ、パッチが適用された2つの関数を分析することで、パッチの差分分析を続けることができます。

Ipv6pReassembleDatagram

関数グラフを並べて比較すると、パッチが適用された関数に、1つの新しいコード・ブロックが導入されていることがわかります。

左側に青色で「プライマリ」、右側に赤色で「セカンダリ」とラベル付けされた 2 つの階層フローダイアグラムを並べて比較します。どちらの図も、緑と黄色の相互接続された長方形ノードで構成され、類似の構造を表しています。セカンダリ図には、上部近くにピンクの円を描いたノードが1つあります。

Ipv6ReassembleDatagramのパッチ適用前とパッチ適用後の関数グラフの並べて比較

ブロックを詳しく見てみましょう。

Ipv6pReassembleDatagramのアセンブリ・コード・スニペット。左側にメモリー・アドレス、右側に命令（MOVZX EAX、wordptr [RBX + 0xbc]、CMP EAX、EDX、およびJBE lab_1c0199c07）が表示されます。ブロックが、下向きのダッシュボードの赤と緑の矢印で強調表示されます。

パッチを適用した機能における新しいコード・ブロック

新しいコード・ブロックは、2つの署名されていない整数（レジスタEAXとEDX）の比較を行い、一方の値がもう一方の値よりも低い場合は、あるブロックにジャンプします。その宛先ブロックを見てみましょう。

関数Ipv6pReassembleDatagramのアセンブリ・コード・ブロック。左側にアドレス、右側に命令が表示されます。命令には、LEA RCX、[R15 + 0x4f50]、MOV R8B、R13B、MOV RDX、RBX、CALL Ipp進め、ReassemblySet、および JMP lab_1c019a006 が含まれます。ブロックが緑色で強調表示され、複数の方向からそれを指す矢印が付けられます。

ターゲット・コードには関数への無条件呼び出しがありますIppDeleteFromReassemblySet 。この関数の名前から推測すると、このブロックはエラー処理のためのものと思われます。追加された新しいコードはある種の境界チェックであり、「goto error チェックが失敗した場合は、「」という行がコードに挿入されます。

この少しの洞察により、デコンパイラーで静的分析を実行できます。

0vercl0ckは以前、別のIpv6脆弱性に関する脆弱性分析をブログ記事で発表し、tcpip.sysのリバースエンジニアリングに深く踏み込んでいます。この作業と追加のリバース・エンジニアリングにより、文書化されていないワークロードの構造定義を記入することができました。Packet_t およびReassembly_t オブジェクトを指定し、いくつかの重要なローカル変数割り当てを特定します。

関数Ipv6pReassembleDatagramのソースコードの製品の画面。コードには、変数宣言、条件チェック、および NetioAllocateAnd ReferenceNetBufferAndNetBufferlist、Ipp進めReassemblySet、IppCopyPacket などの関数呼び出しが含まれます。ピンク色の強調表示された線は、IFブロック内の条件「if (Reassembly>nextheader_offset == HeaderBufferLen)」を示しています。

Ipv6ReassembleDatagramのアウトプット

上記のコード・スニペットでは、ピンクのボックスがパッチによって追加された新しいコードを囲んでいます。Reassembly->nextheader_offset 数値のバイト・オフセットが含まれます next_header field ヘッダーを理解する必要があります。境界チェックは比較されます。next_header_offset ヘッダー・バッファーの長さに合わせて調整します。29行目、HeaderBufferLen バッファを割り当てるために使用され、35行目では、 Reassembly->nextheder_offset >は、割り当てられたバッファーにインデックスを付けてコピーするために使用されます。

このチェックが追加されたことで、次のような条件があることがわかりました。nextheader_offset ヘッダー・バッファーの長さを超えることができます。より多くの答えを求めるために 2番目のパッチが適用された機能に進みましょう。

IppReceiveEsp

BinDiffワークスペースの関数グラフを並べて見ると、パッチ適用された関数に導入されたいくつかの新しいコード・ブロックを特定できます。

IppReceiveEsp関数の2つの制御フローグラフの並べ比較。左側の図には青で「プライマリ」というラベルが付けられており、右側の図には赤で「セカンダリ」というラベルが付いています。どちらの図にも、メッシュと緑で描かれたアセンブリ命令の相互接続ブロックが含まれています。セカンダリ図には、中央の2つのブロックを囲むピンクの楕円形で強調表示されたセクションがあります。

IppReceiveEspのパッチ前後の関数グラフの横比較

以下の画像は、関数のデコンパイルを示しており、IppReceiveEsp パッチによって追加された新しいコードをピンクのボックスで囲んでいます。

関数IppAcceptedEspのC++ソースコードのスクリーンショットコードには、変数宣言、条件付きステートメント、関数呼び出しが含まれます。ピンクでハイライトされたセクションは、Packet->NextHeader値をチェックし、IppDiscardReceivedPacketsを呼び出し、続いてSTATUS_DATA_NOT_ACCEPTEDを設定する条件ブロックを示す。

IPReceiveESP のデコンパイル出力

ここでは、ESP パケットの Next Header フィールドを調べる新しいチェックが追加されました。Next Header フィールドは、復号化された ESP パケットのヘッダーを識別します。Next Header の値が、上位層プロトコル（TCPやUDPなど）または拡張ヘッダー（フラグメント・ヘッダーやルーティング・ヘッダーなど）に対応する場合があることに注意してください。内の値がNextHeader 0、0x2B、または0x2Cの場合、IppDiscardReceivedPackets が呼び出され、エラーコードがSTATUS_DATA_NOT_ACCEPTED に設定されます。これらの値は、それぞれ IPv6 ホップバイホップオプション、IPv6 のルーティングヘッダー、IPv6 のフラグメントヘッダーに対応しています。

ESP RFC に遡ると、「IPv6の文脈では、ESPはエンドツーエンドのペイロードと見なされ、ホップバイホップ、ルーティング、断片化拡張ヘッダーの後に現れるべきです」と述べられています。ここで問題が明らかになります。これらのタイプのヘッダーがESPペイロード内に含まれている場合、プロトコルのRFCに違反し、パケットが破棄されます。

すべてをまとめる

2つの異なる機能のパッチを診断したので、それらがどのように関連しているかを理解できます。最初の関数Ipv6ReassembleDatagram 、修正プログラムはバッファー・オーバーフローのためであると判断しました。

関数Ipv6pReassembleDatagramのソースコードの製品の画面。コードには、変数宣言、条件付きチェック、関数呼び出しが含まれます。ピンク色のハイライト・セクションは、IFブロック内の条件「if (Reassembly>nextheader_offset == HeaderBufferLen)」を示し、その後にネットワーク・バッファの割り当てと処理のロジックが続きます。

Ipv6ReassembleDatagramのアウトプット

被害者バッファーのサイズは、拡張ヘッダーのサイズにIpv6ヘッダーのサイズを加えて計算されることを思い出してください（上の行10）。ここで、挿入されたパッチを参照してください（16行）。Reassembly->nextheader_offset フラグメントのデータを保持するバッファーの次のヘッダー値のオフセットを指します。

ここで、ESPパケットの構造に戻ってみましょう。

複数の行にわたるビット位置0から31を示すIPsec ESPパケット形式の図。フィールドには、セキュリティー・パラメーター・インデックス（SPI）、シーケンス番号、可変長ペイロード・データ、パディング（0～255バイト）、パッド長、次ヘッダー、整合性チェック値（ICV）が含まれます。垂直マーカーは完全性と機密性の対象範囲を示します

ESPパケットのトップレベルフォーマット

Next HeaderフィールドがPayload Dataの後にあることに注意してください。つまり、 Reassembly->nextheader_offset ペイロード・データのサイズはデータのサイズによって制御され、拡張ヘッダーのサイズよりはるかに大きくなる場合があります。Next Header フィールドの予想される場所は、拡張ヘッダーまたは IPv6 ヘッダー内です。ESPパケットでは、実際にはパケットの暗号化された部分に含まれているため、ヘッダー内ではありません。

CVE-2022-34718根本原因を説明する図。ヘッダー、ペイロード、パディング、ICVを含むIPv6パケット構造を示します。攻撃者が管理したペイロードのサイズと、予想される次のヘッダーの位置と実際の次のヘッダーの位置の不一致を強調します。

CVE-2022-34718の根本原因の図解

それでは、35行目に戻ってください。Ipv6ReassembleDatagram ここで、境界外の1バイト書き込みが発生します（サイズと値はNextHeader ）を挿入します。

バグの再現

現在、IPsec ESPパケット経由でIPv6断片化データグラムを送信すると、このバグをトリガーできることが分かっています。

次の質問は、被害者はどのようにしてESPパケットを復号化できるのかという点です。

この質問に答えるために、私はまずジャンクデータがあるESPヘッダーを含むパケットを被害者に送信し、ブレークポイントを脆弱なIppReceiveEsp 関数に付加し、その関数に到達できるかどうかを確認しました。ブレークポイントはヒットしましたが、私が考えていた内部関数がIppReceiveEspNbl の複合化を完了し、エラーが返されたため、脆弱なコードに到達することはありませんでした。さらにIppReceiveEspNbl をリバース・エンジニアリングし、失敗の原因を見つける作業を進めました。ここでは、ESP パケットを正常に復号化するには、セキュリティ アソシエーションを確立する必要があることがわかりました。

セキュリティ・アソシエーションは、2つのエンドポイント間のトラフィックを保護するために、2つのエンドポイント間で維持される共有状態、主に暗号鍵とパラメータから構成されます。つまり、セキュリティー・アソシエーションは、ホストが別のホストから送受信されるトラフィックを暗号化/復号化/認証する方法を定義します。セキュリティー・アソシエーションは、インターネット・キー交換（IKE）または認証済みIPプロトコルを介して確立できます。基本的には、被害者とセキュリティー・アソシエーションを確立する方法が必要で、それによって攻撃者からの受信データを復号化する方法を知ることができます。

テスト目的で、IKE を実装する代わりに、被害者に手動でセキュリティアソシエーションを作成することにしました。これは、Windows Filtering Platform WinAPI (WFP) を使用して実行できます。Numenのブログ記事には、秘密キー管理にWFPを使用することはできないと書かれています。しかし、それは誤りであり、マイクロソフトが提供するサンプルコードを修正することで、攻撃者のIPから送られてくるESPパケットを復号化するために被害者が使用する対称鍵を設定することができます。

IBMニュースレター

The DX Leaders

AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。

ご登録いただきありがとうございます。

ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。

エクスプロイテーション

被害者が私たち (攻撃者) からの ESP トラフィックを復号化する方法を知っているので、 scapyを使用して不正な暗号化された ESP パケットを作成できます。Scapyを使うとIP層でパケットを送信できます。エクスプロイテーションのプロセスはシンプルです。

エクスプロイトという名前の関数を定義するPythonコードのスクリーンショット。コードは、ソースアドレスを使用してIPv6パケットを構築し、最大(frag_size*2, 0x200)を使用してdata_sizeを計算し、ICMPv6エコー要求を作成し、IPv6フラグメント・ヘッダーを追加し、パケットをフラグメント化します。ループは Next Header フィールドを 0x41 に変更し (オーバーフロー書き込み)、パケットを暗号化して送信します。

CVE-2022-34718 PoC

ICMPv6エコー要求から断片化されたパケットのセットを作成します。次に、各フラグメントについて、送信前にESP層に暗号化されます。

プリミティブ

上記の根本原因分析図から、私たちのプリミティブは、境界外の書き込みをします。

offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)

書き込みの値は、次のヘッダー・フィールドの値を介して制御できます。私は、上記のエクスプロイト（ 0x41 😉）の36行にこの値を設定しました。

サービス拒否 (DoS)

たった1バイトだけをランダムなオフセットに分解することにより NetIoProtocolHeader2 プール（ターゲット・バッファーが割り当てられる場所）に存在する場合、通常はすぐにクラッシュすることはありません。断片化されたメッセージ内に追加のヘッダーを挿入して解析するか、プールの大部分を破損させた後にターゲットに繰り返しpingを送信することで、ターゲットを確実にクラッシュさせることができます。

RCEを克服するための制限

offset 攻撃者が制御できるものであり、ただし、ESP RFCによれば、完全性チェック値（ICV）フィールド（存在する場合）が4バイト境界に揃うようにパディングする必要があります。

なぜなら

sizeof(Padding Length) = sizeof(Next Header) = 1、

 

sizeof(Payload Data) + sizeof(Padding) + 2

4バイトにアラインされている必要があります。

その理由として、

offset = 4n - 1

n には任意の正の整数を指定できます。ただし、ペイロードデータとパディングは 1 つのパケット内に収まる必要があるため、MTU (フレームサイズ) によって制限されます。これは、完全なポインターを上書きできないことを意味するため、問題があります。これは制限的ですが、必ずしも法外ではありません。オブジェクトの所在地、サイズ、参照カウンターなどのオフセットを上書きすることができます。利用できる可能性は、被害者のHeadingBuffが割り当てられているカーネルプール内にどのオブジェクトを散布できるかによって異なります。

ヒープグルーミング研究

コードの拡大図

WinDbgの影響を受けるカーネル・プール

被害者の境界外バッファーはNetIoProtocolHeader2 プールに割り当てられました。ヒープグルーミング研究の最初のステップは、このプールに割り当てられたオブジェクトの種類、その中に何が含まれているか、どのように使用されているか、オブジェクトがどのように割り当てられ、解放されるかを検証することです。これにより、Writeプリミティブを使ってリークを得たり、より強力なプリミティブを構築したりする方法を検証できます。私たちは必ずしも次に限定されるわけではありません：NetIoProtocolHeader2 しかし、被害者の境界外のバッファーの位置は予測できず、周囲のプールの所在地はランダム化されているため、他のプールをターゲットにすることは困難に思えます。

デモ

CVE-2022-34718「EvilESP」を悪用したDoSのデモを以下でご覧ください：

ポイント

このように並べると、バグは非常に単純なものに見えます。しかし、全体像を理解し、DoSエクスプロイトを作成するためには、数日にわたるリバース・エンジニアリングとさまざまなネットワーク・スタックとプロトコルに関する学習が必要でした。多くの研究者は、セットアップの構成と環境の理解がプロセスの中で最も時間がかかり、面倒な部分であると述べていますが、これも例外ではありませんでした。この短いプロジェクトを引き受けることに決めたことをとてもうれしく思いますIpv6、IPsec、およびフラグメントをより深く理解できるようになりました。

IBM Security X-Force が攻撃的なセキュリティー・サービスでどのように役立つかを知るには、こちらで無料のコンサルティング・ミーティングをスケジュールしてください: IBM X-Force Scheduler

サイバーセキュリティーの問題やインシデントが発生した場合は、X-Forceにご連絡ください。米国ホットライン 1-888-241-9812 |グローバルホットライン (+001) 312-212-8034。

オフィスでミーティングをするビジネスチーム

IBMお客様事例

お客様のビジネス課題（顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など）を解決した多岐にわたる事例のご紹介です。