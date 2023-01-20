9月のパッチチューズデーは、
tcpip.sysのリモートでクリティカルな脆弱性を明らかにしました。CVE-2022-34718。マイクロソフトが作成した助言には次のように記載されています。「認証されていない攻撃者が、IPsecが有効になっているWindowsノードに特別なIPv6パケットを送信する可能性があり、そのマシン上でリモートコード実行のエクスプロイテーションが可能になる可能性があります。」
純粋なリモート脆弱性は通常、多くの関心を集めますが、パッチ適用後1カ月以上が経過した今でも、Microsoft社の勧告以外の追加情報は公開されていませんでした。私からすると、バイナリー・パッチのDiff分析を試みてからかなり時間が経っていたので、これは根本原因分析を行い、ブログ記事のPoC（概念実証）を作成するのに良いバグではないかと考えました。
昨年10月21日、私はエクスプロイトデモと根本原因の分析を投稿した。その直後、Numen Cyber Labsによって、私がデモで使用したのとは異なるエクスプロイテーション方法を用いた脆弱性に関するブログ記事とPoCが公開されました。
このブログでは、エクスプロイト・ビデオの後続記事として、バグのリバース・エンジニアリングについて詳しく説明し、Numen Cyber Labsのブログで見つけたいくつかの不正確な点について修正します。
以下のセクションでは、CVE-2022-34718 のパッチのリバースエンジニアリング、影響を受けるプロトコル、バグの特定、再現について説明します。テスト環境のセットアップの概要を説明し、バグをトリガーしてサービス拒否（DoS）を引き起こすエクスプロイトを作成します。最後に、エクスプロイト・プリミティブを見て、プリミティブをリモート・コード実行（RCE）に変えるための次のステップの概要を説明します。
Microsoftの助言には、この脆弱性がTCP/IPドライバーに含まれており、IPsecを有効にする必要があることを除いて、具体的な脆弱性の詳細は含まれていません。脆弱性の具体的な原因を特定するために、パッチを当てたバイナリとパッチを当てる前のバイナリを比較し、BinDiffというツールを使って「差分」（erence）を抽出してみます。
Winbindexを使用して、tcpip.sys の 2 つのバージョンを取得しました。パッチ適用前の 1 つとその直後の 1 つです。どちらも同じバージョンのWindows用です。バイナリーの連続バージョンを取得することが重要です。数個の更新だけ離れたバージョンを使用すると、パッチに無関係な差分からノイズが発生する可能性があり、分析中に時間が無駄になる可能性があるためです。Winbindexでは、Windows 10から始まるWindowsバイナリーを取得できるため、パッチ分析がこれまで以上に簡単になっています。両方のファイルをGhidraにロードし、プログラムデータベース (pdb) ファイルを適用して、自動分析を実行しました (アグレッシブ命令ファインダーをチェックすると最適に機能します)。その後、ファイルはGhidraの拡張子BinExportを使ってBinExport形式にエクスポートできます。その後、ファイルをBinDiffにロードしてdiffを作成し、その差異の分析を開始できます。
パッチ適用前とパッチ適用後のバイナリーを比較するBinDiffのサマリー
BinDiffは、さまざまなアルゴリズムを使用して、比較されるバイナリー内の関数を照合することによって機能します。このケースでは、Microsoftからの機能シンボル情報を適用しているため、すべての機能を名前で一致させることができます。
類似度によって分類された一致する関数のリスト
上図には、類似性が100%未満の関数が2つだけあることがわかります。パッチによって変更された2つの機能は次のとおりです。
IPv6 パケットはフラグメントに分割でき、各フラグメントは個別のパケットとして送信されます。すべてのフラグメントが宛先に到達すると、受信者はそれらを再組み立てして元のパケットを形成します。
以下の図は、フラグメント化を示しています。
IPv6フラグメント化の図
RFCによると、フラグメンテーションはFragmentヘッダーと呼ばれる拡張ヘッダーによって実装されます。形式は以下の通りです。
Ipv6フラグメントヘッダーフォーマット
ここで、Next Header フィールドは、断片化されたデータに存在するヘッダーのタイプです。
IPsecは、暗号化された接続を確立するために一緒に使用されるプロトコルのグループです。これは、仮想プライベート・ネットワーク（VPN）をセットアップするためによく使用されます。パッチ分析の最初の部分から、バグがESPパケットの処理に関連していることがわかっているため、Encaps重大セキュリティー・ペイロード（ESP）プロトコルに焦点を当てます。
その名前が示すように、ESPプロトコルはパケットの内容を暗号化（カプセル化）します。モードは2つあります。トンネルモードでは、IPヘッダーのコピーが暗号化されたペイロードに含まれ、もう1つのトランスポートモードではパケットのトランスポート層部分のみが暗号化されます。IPv6フラグメント化と同様、ESPは拡張ヘッダーとして実装されます。RFCによると、ESPパケットは次のようにフォーマットされます。
ESPパケットのトップレベル形式。
セキュリティパラメータインデックス (SPI) フィールドとシーケンス番号フィールドが ESP 拡張ヘッダーを構成し、ペイロードデータとネクストヘッダーとの間のフィールドとシーケンス番号フィールドが暗号化されます。次のヘッダー・フィールドには、ペイロード・データに含まれるヘッダーが記述されています。
Ipv6 FragmentationとIPsec ESPの入門を踏まえ、パッチが適用された2つの関数を分析することで、パッチの差分分析を続けることができます。
関数グラフを並べて比較すると、パッチが適用された関数に、1つの新しいコード・ブロックが導入されていることがわかります。
Ipv6ReassembleDatagramのパッチ適用前とパッチ適用後の関数グラフの並べて比較
ブロックを詳しく見てみましょう。
パッチを適用した機能における新しいコード・ブロック
新しいコード・ブロックは、2つの署名されていない整数（レジスタEAXとEDX）の比較を行い、一方の値がもう一方の値よりも低い場合は、あるブロックにジャンプします。その宛先ブロックを見てみましょう。
ターゲット・コードには関数への無条件呼び出しがあります
この少しの洞察により、デコンパイラーで静的分析を実行できます。
0vercl0ckは以前、別のIpv6脆弱性に関する脆弱性分析をブログ記事で発表し、tcpip.sysのリバースエンジニアリングに深く踏み込んでいます。この作業と追加のリバース・エンジニアリングにより、文書化されていないワークロードの構造定義を記入することができました。
Ipv6ReassembleDatagramのアウトプット
上記のコード・スニペットでは、ピンクのボックスがパッチによって追加された新しいコードを囲んでいます。
このチェックが追加されたことで、次のような条件があることがわかりました。
BinDiffワークスペースの関数グラフを並べて見ると、パッチ適用された関数に導入されたいくつかの新しいコード・ブロックを特定できます。
IppReceiveEspのパッチ前後の関数グラフの横比較
以下の画像は、関数のデコンパイルを示しており、
IPReceiveESP のデコンパイル出力
ここでは、ESP パケットの Next Header フィールドを調べる新しいチェックが追加されました。Next Header フィールドは、復号化された ESP パケットのヘッダーを識別します。Next Header の値が、上位層プロトコル（TCPやUDPなど）または拡張ヘッダー（フラグメント・ヘッダーやルーティング・ヘッダーなど）に対応する場合があることに注意してください。
内の値が0、0x2B、または0x2Cの場合、
が呼び出され、エラーコードが
に設定されます。これらの値は、それぞれ IPv6 ホップバイホップオプション、IPv6 のルーティングヘッダー、IPv6 のフラグメントヘッダーに対応しています。
ESP RFC に遡ると、「IPv6の文脈では、ESPはエンドツーエンドのペイロードと見なされ、ホップバイホップ、ルーティング、断片化拡張ヘッダーの後に現れるべきです」と述べられています。ここで問題が明らかになります。これらのタイプのヘッダーがESPペイロード内に含まれている場合、プロトコルのRFCに違反し、パケットが破棄されます。
2つの異なる機能のパッチを診断したので、それらがどのように関連しているかを理解できます。最初の関数
Ipv6ReassembleDatagramのアウトプット
被害者バッファーのサイズは、拡張ヘッダーのサイズにIpv6ヘッダーのサイズを加えて計算されることを思い出してください（上の行10）。ここで、挿入されたパッチを参照してください（16行）。
ここで、ESPパケットの構造に戻ってみましょう。
ESPパケットのトップレベルフォーマット
Next HeaderフィールドがPayload Dataの後にあることに注意してください。つまり、
CVE-2022-34718の根本原因の図解
それでは、35行目に戻ってください。
現在、IPsec ESPパケット経由でIPv6断片化データグラムを送信すると、このバグをトリガーできることが分かっています。
次の質問は、被害者はどのようにしてESPパケットを復号化できるのかという点です。
この質問に答えるために、私はまずジャンクデータがあるESPヘッダーを含むパケットを被害者に送信し、ブレークポイントを脆弱な
関数に付加し、その関数に到達できるかどうかを確認しました。ブレークポイントはヒットしましたが、私が考えていた内部関数が
の複合化を完了し、エラーが返されたため、脆弱なコードに到達することはありませんでした。さらに
をリバース・エンジニアリングし、失敗の原因を見つける作業を進めました。ここでは、ESP パケットを正常に復号化するには、セキュリティ アソシエーションを確立する必要があることがわかりました。
セキュリティ・アソシエーションは、2つのエンドポイント間のトラフィックを保護するために、2つのエンドポイント間で維持される共有状態、主に暗号鍵とパラメータから構成されます。つまり、セキュリティー・アソシエーションは、ホストが別のホストから送受信されるトラフィックを暗号化/復号化/認証する方法を定義します。セキュリティー・アソシエーションは、インターネット・キー交換（IKE）または認証済みIPプロトコルを介して確立できます。基本的には、被害者とセキュリティー・アソシエーションを確立する方法が必要で、それによって攻撃者からの受信データを復号化する方法を知ることができます。
テスト目的で、IKE を実装する代わりに、被害者に手動でセキュリティアソシエーションを作成することにしました。これは、Windows Filtering Platform WinAPI (WFP) を使用して実行できます。Numenのブログ記事には、秘密キー管理にWFPを使用することはできないと書かれています。しかし、それは誤りであり、マイクロソフトが提供するサンプルコードを修正することで、攻撃者のIPから送られてくるESPパケットを復号化するために被害者が使用する対称鍵を設定することができます。
被害者が私たち (攻撃者) からの ESP トラフィックを復号化する方法を知っているので、 scapyを使用して不正な暗号化された ESP パケットを作成できます。Scapyを使うとIP層でパケットを送信できます。エクスプロイテーションのプロセスはシンプルです。
CVE-2022-34718 PoC
ICMPv6エコー要求から断片化されたパケットのセットを作成します。次に、各フラグメントについて、送信前にESP層に暗号化されます。
上記の根本原因分析図から、私たちのプリミティブは、境界外の書き込みをします。
offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)
書き込みの値は、次のヘッダー・フィールドの値を介して制御できます。私は、上記のエクスプロイト（ 0x41 😉）の36行にこの値を設定しました。
たった1バイトだけをランダムなオフセットに分解することにより
NetIoProtocolHeader2
攻撃者が制御できるものであり、ただし、ESP RFCによれば、完全性チェック値（ICV）フィールド（存在する場合）が4バイト境界に揃うようにパディングする必要があります。
なぜなら
sizeof(Padding Length) = sizeof(Next Header) = 1、
sizeof(Payload Data) + sizeof(Padding) + 2
4バイトにアラインされている必要があります。
その理由として、
offset = 4n - 1
n には任意の正の整数を指定できます。ただし、ペイロードデータとパディングは 1 つのパケット内に収まる必要があるため、MTU (フレームサイズ) によって制限されます。これは、完全なポインターを上書きできないことを意味するため、問題があります。これは制限的ですが、必ずしも法外ではありません。オブジェクトの所在地、サイズ、参照カウンターなどのオフセットを上書きすることができます。
利用できる可能性は、被害者のHeadingBuffが割り当てられているカーネルプール内にどのオブジェクトを散布できるかによって異なります。
WinDbgの影響を受けるカーネル・プール
被害者の境界外バッファーは
プールに割り当てられました。ヒープグルーミング研究の最初のステップは、このプールに割り当てられたオブジェクトの種類、その中に何が含まれているか、どのように使用されているか、オブジェクトがどのように割り当てられ、解放されるかを検証することです。これにより、Writeプリミティブを使ってリークを得たり、より強力なプリミティブを構築したりする方法を検証できます。私たちは必ずしも次に限定されるわけではありません：
しかし、被害者の境界外のバッファーの位置は予測できず、周囲のプールの所在地はランダム化されているため、他のプールをターゲットにすることは困難に思えます。
CVE-2022-34718「EvilESP」を悪用したDoSのデモを以下でご覧ください：
このように並べると、バグは非常に単純なものに見えます。しかし、全体像を理解し、DoSエクスプロイトを作成するためには、数日にわたるリバース・エンジニアリングとさまざまなネットワーク・スタックとプロトコルに関する学習が必要でした。多くの研究者は、セットアップの構成と環境の理解がプロセスの中で最も時間がかかり、面倒な部分であると述べていますが、これも例外ではありませんでした。この短いプロジェクトを引き受けることに決めたことをとてもうれしく思いますIpv6、IPsec、およびフラグメントをより深く理解できるようになりました。
