9월 패치 화요일(Patch Tuesday)에서 tcpip.sys , CVE-2022-34718의 치명적인 원격 취약점이 공개되었습니다. Microsoft의 권고에 따르면 "인증되지 않은 공격자는 IPsec이 활성화된 Windows 노드로 특수하게 조작된 IPv6 패킷을 보낼 수 있으며, 이로 인해 해당 시스템에서 원격 코드 실행 악용이 가능할 수 있습니다."

순수한 원격 취약점은 일반적으로 많은 관심을 불러일으키지만, 패치 후 한 달이 지난 후에도 Microsoft의 권고 이외의 추가 정보는 공개적으로 게시되지 않았습니다. 제 입장에서는 바이너리 패치 차이점 분석을 시도한 지 오래였기 때문에 근본 원인 분석을 수행하고 블로그 게시물에 대한 개념 증명(PoC)을 작성하는 데 좋은 버그가 될 것이라고 생각했습니다.

작년 10월 21일에 저는 익스플로잇 데모와 버그의 근본 원인 분석을 게시했습니다. 얼마 지나지 않아 Numen Cyber Labs는 데모에서 사용한 것과 다른 악용 방법을 사용하여 취약점에 대한 블로그 게시물과 PoC를 게시했습니다.

익스플로잇 동영상에 대한 후속 기사인 이 블로그에는 버그의 리버스 엔지니어링에 대한 심층적인 설명이 포함되어 있으며, Numen Cyber Labs 블로그에서 발견한 몇 가지 부정확성을 수정합니다.

다음 섹션에서는 영향을 받는 프로토콜인 CVE-2022-34718 패치를 리버스 엔지니어링하고, 버그를 식별하고, 재현하는 방법에 대해 설명합니다. 테스트 환경 설정에 대해 간략하게 설명하고 버그를 트리거하고 서비스 거부(DoS)를 유발하는 익스플로잇을 작성해 보겠습니다. 마지막으로 익스플로잇 프리미티브를 살펴보고 프리미티브를 원격 코드 실행(RCE)으로 전환하는 다음 단계를 간략하게 설명합니다.