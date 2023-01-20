9월 패치 화요일(Patch Tuesday)에서
tcpip.sys, CVE-2022-34718의 치명적인 원격 취약점이 공개되었습니다. Microsoft의 권고에 따르면 "인증되지 않은 공격자는 IPsec이 활성화된 Windows 노드로 특수하게 조작된 IPv6 패킷을 보낼 수 있으며, 이로 인해 해당 시스템에서 원격 코드 실행 악용이 가능할 수 있습니다."
순수한 원격 취약점은 일반적으로 많은 관심을 불러일으키지만, 패치 후 한 달이 지난 후에도 Microsoft의 권고 이외의 추가 정보는 공개적으로 게시되지 않았습니다. 제 입장에서는 바이너리 패치 차이점 분석을 시도한 지 오래였기 때문에 근본 원인 분석을 수행하고 블로그 게시물에 대한 개념 증명(PoC)을 작성하는 데 좋은 버그가 될 것이라고 생각했습니다.
작년 10월 21일에 저는 익스플로잇 데모와 버그의 근본 원인 분석을 게시했습니다. 얼마 지나지 않아 Numen Cyber Labs는 데모에서 사용한 것과 다른 악용 방법을 사용하여 취약점에 대한 블로그 게시물과 PoC를 게시했습니다.
익스플로잇 동영상에 대한 후속 기사인 이 블로그에는 버그의 리버스 엔지니어링에 대한 심층적인 설명이 포함되어 있으며, Numen Cyber Labs 블로그에서 발견한 몇 가지 부정확성을 수정합니다.
다음 섹션에서는 영향을 받는 프로토콜인 CVE-2022-34718 패치를 리버스 엔지니어링하고, 버그를 식별하고, 재현하는 방법에 대해 설명합니다. 테스트 환경 설정에 대해 간략하게 설명하고 버그를 트리거하고 서비스 거부(DoS)를 유발하는 익스플로잇을 작성해 보겠습니다. 마지막으로 익스플로잇 프리미티브를 살펴보고 프리미티브를 원격 코드 실행(RCE)으로 전환하는 다음 단계를 간략하게 설명합니다.
Microsoft의 권고에는 TCP/IP 드라이버에 포함되어 있으며 IPsec을 활성화해야 한다는 점을 제외하고는 취약점에 대한 구체적인 세부 정보가 포함되어 있지 않습니다. 취약점의 구체적인 원인을 파악하기 위해 패치된 바이너리를 패치 전 바이너리와 비교하고 BinDiff라는 도구를 사용하여 '차이점'을 추출해 보겠습니다.
Winbindex를 사용하여 두 가지 버전의 tcpip.sys를 얻었습니다. 하나는 패치 직전, 다른 하나는 패치 직후이며, 둘 다 동일한 버전의 Windows에 적용됩니다. 바이너리의 순차적 버전을 가져오는 것이 중요합니다. 몇 가지 업데이트를 사용하더라도 패치와 관련이 없는 차이점으로 인해 노이즈가 발생하고 분석을 수행하는 동안 시간을 낭비할 수 있기 때문입니다. Winbindex를 사용하면 Windows 10부터 모든 Windows 바이너리를 얻을 수 있으므로 패치 분석이 그 어느 때보다 쉬워졌습니다. Ghidra에서 두 파일을 모두 로드하고 프로그램 데이터베이스(pdb) 파일을 적용한 다음 자동 분석을 실행했습니다(공격적인 명령어 찾기를 확인하는 것이 가장 효과적임). 그런 다음, Ghidra용BinExport 확장자를 사용하여 파일을 BinExport 형식으로 내보낼 수 있습니다. 그러고 나서 파일을 BinDiff에 로드하여 차이를 만들고 차이점 분석을 시작할 수 있습니다.
패치 전후 바이너리를 비교한 BinDiff 요약
BinDiff는 다양한 알고리즘을 사용하여 비교되는 바이너리의 함수를 일치시키는 방식으로 작동합니다. 이 경우에는 Microsoft에서 적용한 함수 기호 정보를 사용해 모든 함수를 이름별로 매칭할 수 있습니다.
유사도별로 정렬된 일치 함수 목록
위에서 볼 수 있듯이 유사도가 100% 미만인 함수는 두 개뿐입니다. 패치로 변경된 두 가지 기능은 다음과 같습니다.
IPv6 패킷은 조각으로 나눌 수 있으며 각 조각은 별도의 패킷으로 전송됩니다. 모든 조각이 목적지에 도달하면 수신기는 이를 재조립하여 원래 패킷을 형성합니다.
아래 다이어그램은 단편화를 보여줍니다.
IPv6 단편화 일러스트
RFC에 따르면 단편화는 다음과 같은 형식을 가진 단편 헤더라는 확장 헤더를 통해 구현됩니다.
IPv6 단편화 헤더 형식
여기서 '다음 헤더' 필드는 단편화된 데이터에 있는 헤더의 유형입니다.
IPsec은 암호화된 연결을 설정하는 데 함께 사용되는 프로토콜 그룹입니다. 가상 사설망(VPN)을 설정하는 데 자주 사용됩니다. 패치 분석의 첫 번째 부분에서 이 버그가 ESP 패킷 처리와 관련이 있다는 것을 알았으므로 ESP(캡슐화 보안 페이로드) 프로토콜에 초점을 맞출 것입니다.
이름에서 알 수 있듯이 ESP 프로토콜은 패킷의 내용을 암호화(캡슐화)합니다. 터널 모드에서는 암호화된 페이로드에 IP 헤더 사본이 포함되며, 전송 모드에서는 패킷의 전송 레이어 부분만 암호화되는 두 가지 모드가 있습니다. IPv6 단편화와 마찬가지로 ESP는 확장 헤더로 구현됩니다. RFC에 따르면 ESP 패킷의 형식은 다음과 같습니다.
ESP 패킷의 최상위 형식입니다.
여기서 보안 매개변수 색인(SPI) 및 시퀀스 번호 필드는 ESP 확장 헤더를 구성하고, 페이로드 데이터와 다음 헤더 사이의 필드는 암호화됩니다. 다음 헤더 필드는 페이로드 데이터에 포함된 헤더를 설명합니다.
이제 IPv6 단편화 및 IPsec ESP에 대한 입문서를 통해 패치된 두 가지 기능을 분석하여 패치 차이 분석을 계속할 수 있습니다.
두 함수의 그래프를 나란히 비교해 보면, 패치된 함수에 새로운 코드 블록 하나가 추가된 것을 알 수 있습니다.
Ipv6Re AssembleDatagram의 패치 전 및 패치 후 함수 그래프를 나란히 비교
블록을 자세히 살펴보겠습니다.
패치된 함수의 새 코드 블록
새로운 코드 블록은 두 개의 부호 없는 정수(레지스터 EAX 및 EDX에서)를 비교하고 한 값이 다른 값보다 작으면 블록으로 점프합니다. 해당 대상 블록을 살펴보겠습니다.
대상 코드에는 해당 함수를 무조건 호출하는 부분이 있습니다.
이러한 정보를 바탕으로 디컴파일러에서 정적 분석을 수행할 수 있습니다.
0vercl0ck는 이전에 다른 Ipv6 취약점에 대한 취약점 분석을 블로그 게시물로 게시했고, tcpip.sys의 리버스 엔지니어링에 대해 자세히 설명했습니다. 이 작업과 몇 가지 추가 리버스 엔지니어링을 통해 문서화되지 않은 구조 정의를 채울 수 있었습니다.
Ipv6ReassembleDatagram의 디컴파일 아웃풋
위 코드 조각에서 분홍색 상자는 패치에 의해 추가된 새 코드를 둘러싸고 있습니다.
이 검사가 추가되었으므로 이제
BinDiff 작업 공간에서 함수 그래프를 나란히 살펴보면 패치된 함수에 도입된 몇 가지 새로운 코드 블록을 확인할 수 있습니다.
IppReceiveEsp의 패치 전후 함수 그래프를 나란히 비교
아래 이미지는 함수의 디컴파일을 보여줍니다.
IppReceiveESP의 디컴파일 아웃풋
여기에 ESP 패킷의 Next Header 필드를 검사하기 위한 새로운 검사가 추가되었습니다. Next 헤더 필드는 복호화된 ESP 패킷의 헤더를 식별합니다. 다음 헤더 값은 상위 계층 프로토콜(예: TCP 또는 UDP) 또는 확장 헤더(예: 단편화 헤더 또는 라우팅 헤더)에 해당할 수 있습니다. 만약
의 값이 0, 0x2B 또는 0x2C이면
가 호출되고 오류 코드가
로 설정됩니다. 이 값은 각각 IPv6 Hop-by-Hop 옵션, IPv6용 라우팅 헤더, IPv6용 프래그먼트 헤더에 해당합니다.
ESP RFC를 다시 참조하자면 "IPv6 컨텍스트에서 ESP는 종단 간 페이로드로 간주되므로, 홉 바이 홉, 라우팅, 파편화 확장 헤더 다음에 나타나야 한다"고 명시되어 있습니다. 이제 문제가 명확해집니다. 이러한 유형의 헤더가 ESP 페이로드에 포함되어 있으면 프로토콜의 RFC를 위반하는 것이므로 패킷이 삭제됩니다.
이제 서로 다른 두 기능에서 패치를 진단했으므로 두 패치가 어떻게 관련되어 있는지 파악할 수 있습니다. 첫 번째 함수
Ipv6ReassembleDatagram의 디컴파일 아웃풋
피해자 버퍼의 크기는 확장 헤더의 크기에 Ipv6 헤더의 크기를 더한 값으로 계산된다는 점을 기억하세요(위 10행). 이제 삽입된 패치(16행)를 다시 참조하세요.
이제 ESP 패킷의 구조를 다시 참조하세요.
ESP 패킷의 최상위 형식
Next Header 필드가 Payload Data *다음*에 온다는 점에 유의하세요. 즉,
CVE-2022-34718의 근본 원인 일러스트
이제
이제 IPsec ESP 패킷을 통해 IPv6 단편화된 데이터그램을 전송하면 버그가 트리거될 수 있다는 것을 알게 되었습니다.
이제 다음 질문에 답해야 합니다. 피해자가 ESP 패킷을 어떻게 해독할 수 있을까요?
이 질문에 답하기 위해 먼저 정크 데이터가 포함된 ESP 헤더가 포함된 패킷을 피해자에게 보내고, 취약한
중단점에 도달했지만 내부 함수가
의 암호 해독을 수행하고 오류를 반환했기 때문에 취약한 코드에 도달하지 못했습니다. 추가로 리버스 엔지니어링을
에 적용하여 실패 지점을 찾기 위해 노력했습니다. 여기서 ESP 패킷을 성공적으로 복호화하려면 보안 연관이 반드시 구축되어야 한다는 것을 알게 되었습니다.
보안 연결은 두 엔드포인트 간의 트래픽을 보호하기 위해 두 엔드포인트 간에 유지되는 공유 상태(주로 암호화 키 및 매개변수)로 구성됩니다. 간단히 말해, 보안 연결은 호스트가 다른 호스트와 주고받는 트래픽을 어떻게 암호화/복호화/인증할지 정의합니다. 보안 연결은 인터넷 키 교환(IKE) 또는 인증된 IP 프로토콜을 통해 설정할 수 있습니다. 본질적으로 피해자와 보안 연결을 설정하여 공격자로부터 들어오는 데이터의 암호를 해독하는 방법을 알 수 있는 방법이 필요합니다.
테스트 목적으로 IKE를 구현하는 대신 피해자에 대한 보안 연결을 수동으로 만들기로 결정했습니다. 이 작업은 Windows 필터링 플랫폼 WinAPI(WFP)를 사용하여 수행할 수 있습니다. Numen의 블로그 게시물에는 비밀 키 관리에 WFP를 사용할 수 없다고 명시되어 있습니다. 그러나 이는 잘못된 정보이며 Microsoft에서 제공한 샘플 코드를 수정하면 피해자가 공격자 IP에서 오는 ESP 패킷을 해독하는 데 사용할 대칭 키를 설정할 수 있습니다.
업계 뉴스레터
Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.
이제 피해자가 우리(공격자)로부터 ESP 트래픽을 해독하는 방법을 알았으므로 scapy를 사용하여 기형적으로 암호화된 ESP 패킷을 만들 수 있습니다. scapy를 사용하면 IP 계층에서 패킷을 보낼 수 있습니다. 악용 프로세스는 간단합니다.
CVE-2022-34718 PoC
ICMPv6 에코 요청에서 조각화된 패킷 세트를 생성합니다. 그런 다음 각 조각에 대해 전송하기 전에 ESP 계층으로 암호화합니다.
위 그림의 근본 원인 분석 다이어그램을 보면, 프리미티브가 다음 위치에서 범위 초과 쓰기를 제공한다는 것을 알 수 있습니다.
offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)
쓰기 값은 다음 헤더 필드의 값을 통해 제어할 수 있습니다. 위의 익스플로잇에서 36번째 줄에 이 값을 설정했습니다(0x41 😉).
단 한 바이트만 무작위 오프셋으로 손상시키는 것
NetIoProtocolHeader2
은 공격자가 제어하지만, ESP RFC에 따르면 무결성 검사 값(ICV) 필드(있는 경우)가 4바이트 경계에 정렬되도록 패딩이 필요합니다.
그 이유는
sizeof(Padding Length) = sizeof(Next Header) = 1,
sizeof(Payload Data) + sizeof(Padding) + 2
4바이트로 정렬되어야 합니다.
따라서:
offset = 4n - 1
여기서 n은 임의의 양의 정수일 수 있으며, 페이로드 데이터와 패딩이 단일 패킷에 들어맞아야 하므로 MTU(프레임 크기)에 의해 제한됩니다. 이는 전체 포인터를 덮어쓸 수 없다는 것을 의미하기 때문에 문제가 됩니다. 이는 제한적이지만 반드시 금지되는 것은 아닙니다. 개체, 크기, 참조 카운터 등의 주소 오프셋을 계속 덮어쓸 수 있습니다. 저희가 사용할 수 있는 가능성은 대상
HeaderBuff가 할당된 커널 풀에 어떤 개체를 뿌릴 수 있는지에 따라 달라집니다.
WinDbg의 영향을 받는 커널 풀
피해자 범위 초과 버퍼는
에 할당됩니다. 힙 그루밍 연구의 첫 번째 단계는 이 풀에 할당된 개체의 유형, 포함된 개체, 사용 방법, 개체 할당/해제 방법을 조사하는 것입니다. 이를 통해 쓰기 프리미티브를 사용하여 유출을 일으키거나 더 강력한 프리미티브를 구축하는 방법을 조사할 수 있습니다. 반드시 다음으로 국한되는 것은 아닙니다.
아래에서 CVE-2022-34718 'EvilESP'를 DoS에 악용하는 데모를 시청하세요.
이렇게 정리하면 버그는 매우 단순해 보입니다. 그러나 전체 그림을 이해하고 DoS 익스플로잇을 작성하기 위해서는 리버스 엔지니어링과 다양한 네트워킹 스택 및 프로토콜에 대해 배우는 데 며칠이 걸렸습니다. 많은 연구자들은 설정을 구성하고 환경을 이해하는 것이 프로세스에서 가장 시간이 많이 걸리고 지루한 부분이라고 말하며, 이는 예외는 아닙니다. 이 짧은 프로젝트를 하기로 결정한 것을 매우 기쁘게 생각합니다. 덕분에 IPv6, IPsec 및 단편화를 훨씬 더 잘 이해하게 되었습니다.
IBM Security X-Force가 공격적인 보안 서비스에 어떻게 도움이 될 수 있는지 알아보려면 IBM X-Force Scheduler에서 무료 상담을 예약하세요.
사이버 보안 문제나 사고가 발생한 경우 X-Force에 문의하여 도움을 받으세요. 미국 핫라인 1-888-241-9812 | 글로벌 핫라인 (+001) 312-212-8034