Análisis de la explotación de la vulnerabilidad “EvilESP” de RCE TCP/IP

El martes de parches de septiembre reveló una vulnerabilidad remota crítica en tcpip.sys, CVE-2022-34718. El aviso de Microsoft dice: "Un atacante no autenticado podría enviar un paquete IPv6 especialmente diseñado a un nodo de Windows donde está habilitado IPsec, lo que podría permitir una explotación de ejecución remota de código en esa máquina".

Las vulnerabilidades remotas puras suelen generar mucho interés, pero incluso más de un mes después del parche, no se había publicado ninguna información adicional fuera del aviso de Microsoft. Por mi parte, había pasado mucho tiempo desde que intenté hacer un análisis de diferencias de parches binarios, así que pensé que este sería un buen error para hacer un análisis de causa principal y elaborar una prueba de concepto (PoC) para una entrada en el blog.

El 21 de octubre del año pasado, publiqué una demostración de exploit y un análisis de la causa principal del error. Poco después, Numen Cyber Labs publicó una entrada en el blog y una PoC sobre la vulnerabilidad utilizando un método de explotación diferente al que utilicé en mi demostración.

En este blog, mi artículo de seguimiento a mi video de exploit, incluyo una explicación detallada de la ingeniería inversa del error y corrijo algunas imprecisiones que encontré en el blog de Numen Cyber Labs.

En las siguientes secciones, cubro la ingeniería inversa del parche para CVE-2022-34718, los protocolos afectados, la identificación del error y su reproducción. Describiré la configuración de un entorno de prueba y escribiré un exploit para activar el error y causar una denegación del servicio (DoS). Por último, analizaré las primitivas de exploit y describiré los siguientes pasos para convertir las primitivas en ejecución remota de código (RCE).

Diferenciación de parches

El aviso de Microsoft no contiene ningún detalle específico de la vulnerabilidad, excepto que está contenida en el controlador TCP/IP y requiere que IPSec esté habilitado. Para identificar la causa específica de la vulnerabilidad, compararemos el binario parcheado con el binario anterior al parche e intentaremos extraer la diferencia utilizando una herramienta llamada BinDiff.

Utilicé Winbindex para obtener dos versiones de tcpip.sys: una justo antes del parche y otra justo después, ambas para la misma versión de Windows. Es importante obtener versiones secuenciales de los binarios, ya que incluso el uso de versiones separadas por algunas actualizaciones puede introducir ruido de diferencias que no están relacionadas con el parche y hacer que se pierda tiempo mientras se realiza el análisis. Winbindex ha hecho que el análisis de parches sea más fácil que nunca, ya que puede obtener cualquier binario de Windows a partir de Windows 10. Cargué ambos archivos en Ghidra, apliqué los archivos de la base de datos del programa (pdb) y ejecuté el análisis automático (comprobando que el buscador de instrucciones agresivo funciona mejor). Después, los archivos se pueden exportar a un formato BinExport utilizando la extensión BinExport para Ghidra. A continuación, los archivos se pueden cargar en BinDiff para crear un diff y comenzar a analizar sus diferencias:

Vista comparativa de dos archivos del sistema que utilizan BinDiff, que muestra funciones 100 % coincidentes entre tcpip_old.sys y tcpip_new.sys. Incluye un diagrama circular, una puntuación de similitud de 0.99 y un gráfico de barras que indica una similitud de funciones casi idéntica. Se muestran detalles del archivo, como rutas, hashes, arquitectura (x86-64) y recuentos de funciones (5487).

Resumen de BinDiff que compara los binarios previos y posteriores al parche

BinDiff funciona haciendo coincidir funciones en los binarios que se comparan utilizando varios algoritmos. En este caso, hemos aplicado información de símbolos de función de Microsoft, por lo que todas las funciones pueden coincidir por nombre.

Comparación detallada de funciones coincidentes entre dos archivos del sistema, que muestra una similitud del 100 % en bloques básicos y saltos, y una diferencia de instrucciones del 158.2 %. Incluye diagramas circulares, una puntuación de similitud de 0.99 y un gráfico de barras. A continuación, una tabla enumera 5487 funciones coincidentes con columnas de similitud, confianza, nombres primarios y secundarios, direcciones, tipo, bloques básicos y saltos, resaltados en verde para una alta similitud.

Lista de funciones coincidentes ordenadas por similitud

Arriba vemos que solo hay dos funciones que tienen una similitud inferior al 100 %. Las dos funciones que se modificaron con el parche son: IppReceiveEsp  y Ipv6pReassembleDatagram .

Análisis de la causa principal de la vulnerabilidad

Investigaciones previas muestran que Ipv6pReassembleDatagram la función se encarga del reensamblado de paquetes fragmentados Ipv6.

El nombre de la función IppReceiveEsp parece indicar que esta función se encarga de recibir paquetes IPsec ESP.

Antes de entrar en el parche, hablaré brevemente sobre la fragmentación de IPv6 e IPsec. Tener una comprensión general de estas estructuras de paquetes ayudará cuando se intente aplicar ingeniería inversa al parche.

Fragmentación de IPv6:

Un paquete de IPv6 se puede dividir en fragmentos y cada fragmento se envía como un paquete separado. Una vez que todos los fragmentos llegan al destino, el receptor los vuelve a ensamblar para formar el paquete original.

El siguiente diagrama ilustra la fragmentación:

Diagrama que ilustra la fragmentación de paquetes de IPv6. El paquete original contiene un encabezado de IPv6, un encabezado de extensión opcional, un encabezado de TCP y una carga útil de TCP. Se divide en tres paquetes de fragmentos, cada uno con su propio encabezado de IPv6, encabezado de extensión opcional, encabezado de fragmento y fragmentos etiquetados 1, 2 y 3.

Ilustración de la fragmentación de Ipv6

Según el RFC, la fragmentación se implementa mediante un encabezado de extensión llamado Fragment, que tiene el siguiente formato:

Diagrama de un formato de encabezado de fragmento de IPv6 que muestra las posiciones de bit 0 a 31 en dos filas. Los campos incluyen Next Header, Reserved, Fragment Offset, dos campos de un solo bit etiquetados Res y M, y un campo de identificación grande que abarca la segunda fila.

Formato de encabezado de fragmento de IPv6

Donde el campo Next Header es el tipo de encabezado presente en los datos fragmentados.

IPsec (ESP):

IPsec es un grupo de protocolos que se utilizan juntos para configurar conexiones cifradas. A menudo se utiliza para configurar redes privadas virtuales (VPN). Desde la primera parte del análisis de parches, sabemos que el error está relacionado con el procesamiento de paquetes de ESP, por lo que nos centraremos en el protocolo Encapsulating Security Payload (ESP).

Como su nombre indica, el protocolo de ESP cifra (encapsula) el contenido de un paquete. Hay dos modos: en el modo túnel , se incluye una copia del encabezado IP en la carga útil cifrada, y en el modo transporte , solo se cifra la parte de la capa de transporte del paquete. Al igual que la fragmentación de IPv6, ESP se implementa como un encabezado de extensión. Según el RFC, un paquete de ESP se formatea de la siguiente manera:

Formato de nivel superior de un paquete de ESP.

Donde los campos Security Parameters Index (SPI) y Sequence Number comprenden el encabezado de la extensión de ESP, y los campos entre los datos de carga útil y el encabezado siguiente están encriptados. El campo Next Header describe el encabezado contenido en los datos de carga útil.

Ahora, con una introducción a la fragmentación de Ipv6 e IPsec ESP, podemos continuar con las diferencias de parches analizando las dos funciones que encontramos que fueron parcheadas

Ipv6pReassembleDatagram

Al comparar en paralelo los gráficos de funciones, podemos ver que se ha introducido un único bloque de código nuevo en la función parcheada:

Comparación en paralelo de dos diagramas de flujo jerárquicos etiquetados como "primario" a la izquierda en azul y "secundario" a la derecha en rojo. Ambos diagramas consisten en nodos rectangulares interconectados en verde y amarillo, que representan estructuras similares. El diagrama secundario tiene un nodo marcado con un círculo rosa cerca de la parte superior.

Comparación en paralelo de los gráficos de funciones anteriores y posteriores al parche de Ipv6ReassembleDatagram

Echemos un vistazo más de cerca al bloque:

Fragmento de código ensamblado para la función Ipv6pReassembleDatagram. Muestra direcciones de memoria a la izquierda e instrucciones a la derecha: MOVZX EAX, word ptr [RBX + 0xbc], CMP EAX, EDX y JBE LAB_1c0199c07. El bloque está resaltado con flechas discontinuas rojas y verdes que apuntan hacia abajo.

Nuevo bloque de código en la función parcheada

El nuevo bloque de código está haciendo una comparación de dos enteros sin signo (en los registros EAX y EDX) y saltando a un bloque si un valor es menor que el otro. Echemos un vistazo a ese bloque de destino:

Bloque de código de ensamblaje para la función Ipv6pReassembleDatagram, mostrado con direcciones de memoria a la izquierda e instrucciones a la derecha. Las instrucciones incluyen LEA RCX, [R15 + 0x4f50], MOV R8B, R13B, MOV RDX, RBX, CALL IppDeleteFromReassemblySet y JMP LAB_1c019a006. El bloque está resaltado en verde con flechas que apuntan hacia él desde múltiples direcciones.

El código destino tiene una llamada incondicional a la función IppDeleteFromReassemblySet . A juzgar por el nombre de esta función, este bloque parece ser para el manejo de errores. Podemos intuir que el nuevo código que se agregó es una especie de verificación de límites, y ha habido una ”goto error ” línea insertada en el código, si la comprobación falla.

Con este insight, podemos realizar un análisis estático en un descompilador.

0vercl0ck publicó anteriormente una entrada en el blog donde hacía un análisis de vulnerabilidad en una vulnerabilidad de Iv6 diferente y profundizó en la ingeniería inversa de tcpip.sys. A partir de este trabajo y algo de ingeniería inversa adicional, pude completar las definiciones de estructura para los objetos Packet_t  y Reassembly_t  no documentados, así como identificar un par de asignaciones de variables locales cruciales.

Captura de pantalla del código fuente de C++ para la función Ipv6pReassembleDatagram. El código incluye declaraciones de variables, comprobaciones condicionales y llamadas a funciones, como NetioAllocateAndReferenceNetBufferAndNetBufferList, IppDeleteFromReassemblySet e IppCopyPacket. Una línea resaltada en rosa muestra la condición 'if (Reassembly->nextheader_offset == HeaderBufferLen)' dentro de un bloque if.

Resultado de la descompilación de Ipv6ReassembleDatagram

En el fragmento de código anterior, la caja rosa rodea el nuevo código agregado por el parche. Reassembly->nextheader_offset  contiene el desplazamiento de bytes del next_header field  en el encabezado de fragmentación de IPv6. La verificación de límites compara next_header_offset  a la longitud del buffer de encabezado. En la línea 29, HeaderBufferLen  se utiliza para asignar un búfer y en la línea 35, Reassembly->nextheder_offset > se utiliza para indexar y copiar en el búfer asignado.

Debido a que se agregó esta verificación, ahora sabemos que había una condición que permite nextheader_offset  exceder la longitud del búfer de encabezado. Pasaremos a la segunda función parcheada para buscar más respuestas.

IppReceiveEsp

Al observar el gráfico en paralelo de funciones en el espacio de trabajo de BinDiff, podemos identificar algunos bloques de código nuevos introducidos en la función parcheada:

Comparación en paralelo de dos gráficos de flujo de control para la función IppReceiveEsp. El diagrama de la izquierda está etiquetado como "primario" en azul, y el diagrama de la derecha está etiquetado como "secundario" en rojo. Ambos diagramas contienen bloques interconectados de instrucciones de ensamblaje en beige y verde. El diagrama secundario tiene una sección resaltada con un óvalo rosa alrededor de dos bloques centrales.

Comparación en paralelo de los gráficos de funciones anteriores y posteriores al parche de IppReceiveEsp

La siguiente imagen muestra la descompilación de la función IppReceiveEsp , con una casilla rosa que rodea el nuevo código agregado por el parche.

Captura de pantalla del código fuente C++ para la función IppReceiveEsp. El código incluye declaraciones de variables, sentencias condicionales y llamadas a funciones. Una sección resaltada en rosa muestra un bloque condicional que verifica los valores de Packet->NextHeader y llama a IppDiscardReceivedPackets, seguido de la configuración de STATUS_DATA_NOT_ACCEPTED.

Resultado de la descompilación de IppReceiveESP

Aquí, se agregó una nueva verificación para examinar el campo Next Header del paquete de ESP. El campo Next Header identifica el encabezado del paquete de ESP descifrado. Recuerde que un valor Next Header puede corresponder a un protocolo de capa superior (como TCP o UDP) o a un encabezado de extensión (como encabezado de fragmentación o encabezado de enrutamiento). Si el valor en NextHeader es 0, 0x2B o 0x2C, IppDiscardReceivedPackets se llama y el código de error se establece en STATUS_DATA_NOT_ACCEPTED . Estos valores corresponden a la opción Hop-by-Hop de IPv6, el encabezado de enrutamiento para IPv6 y el encabezado de fragmento para IPv6, respectivamente.

Refiriéndose de nuevo al ESP RFC, afirma: “En el contexto de IPv6, ESP se ve como una carga útil de extremo a extremo y, por lo tanto, debe aparecer después de los encabezados de extensión de salto por salto, enrutamiento y fragmentación”. Ahora el problema queda claro. Si un encabezado de estos tipos está contenido dentro de una carga útil de ESP, viola el RFC del protocolo y el paquete se descartará.

Correlación

Ahora que hemos diagnosticado los parches en dos funciones diferentes, podemos descubrir cómo están relacionados. En la primera función Ipv6ReassembleDatagram , determinamos que el arreglo era para un desbordamiento de búfer.

Captura de pantalla del código fuente de C++ para la función Ipv6pReassembleDatagram. El código incluye declaraciones de variables, comprobaciones condicionales y llamadas a funciones. Una sección resaltada en rosa muestra la condición 'if (Reassembly->nextheader_offset == HeaderBufferLen)' dentro de un bloque if, seguida de la lógica para asignar y procesar búferes de red.

Resultado de la descompilación de Ipv6ReassembleDatagram

Recuerde que el tamaño del búfer de víctima se calcula como el tamaño de los encabezados de extensión, más el tamaño de un encabezado de Ipv6 (línea 10 arriba). Ahora consulte el parche que se insertó (línea 16). Reassembly->nextheader_offset  Se refiere al desplazamiento del valor del siguiente encabezado del búfer que contiene los datos del fragmento.

Ahora volvamos a la estructura de un paquete de ESP:

Diagrama de un formato de paquete de IPsec ESP que muestra las posiciones de bit 0 a 31 en varias filas. Los campos incluyen Security Parameters Index (SPI), Sequence Number, variable-length Payload Data, Padding (0–255 bytes), Pad Length, Next Header e Integrity Check Value (ICV). Los marcadores verticales indican la cobertura de integridad y confidencialidad

Formato de nivel superior de un paquete de ESP

Observe que el campo Next Header aparece *después* de Payload Data. Esto significa que Reassembly->nextheader_offset  incluirá el tamaño de los datos de carga útil, que está controlado por el tamaño de los datos, y puede ser mucho mayor que el tamaño de los encabezados de extensión. La ubicación esperada del campo Next Header está dentro de un encabezado de extensión o encabezado de IPv6. En un paquete de ESP, no está dentro del encabezado, ya que en realidad está contenido en la parte cifrada del paquete.

Diagrama que explica la causa principal de CVE-2022-34718. Muestra la estructura de los paquetes de IPv6 con encabezados, carga útil, relleno e ICV. Destaca el tamaño de la carga útil controlada por el atacante y la discrepancia entre la posición esperada y la real del siguiente encabezado.

Causa principal ilustrada de CVE-2022-34718

Ahora volvamos a la línea 35 de Ipv6ReassembleDatagram , aquí es donde se produce una escritura fuera de los límites de 1 byte (el tamaño y el valor de NextHeader ).

Reproducción del error

Ahora sabemos que el error puede activarse enviando un datagrama fragmentado de IPv6 a través de paquetes de IPsec ESP.

La siguiente pregunta que hay que responder es: ¿cómo podrá la víctima descifrar los paquetes de ESP?

Para responder a esta pregunta, primero intenté enviar paquetes a una víctima que contenían un encabezado de ESP con datos basura y puse un punto de interrupción en la función vulnerable IppReceiveEsp para ver si se podía alcanzar la función. Se alcanzó el punto de interrupción, pero la función interna que pensé hizo el descifrado IppReceiveEspNbl , devolvió un error, por lo que nunca se llegó al código vulnerable. Realicé aún más ingeniería inversa IppReceiveEspNbl y trabajé hasta encontrar el punto de falla. Aquí es donde aprendí que, para descifrar con éxito un paquete ESP, se debe establecer una asociación de seguridad.

Una asociación de seguridad consiste en un estado compartido, principalmente claves y parámetros criptográficos, que se mantiene entre dos endpoint para proteger el tráfico entre ellos. En términos simples, una asociación de seguridad define cómo un host cifrará, descifrará y autenticará el tráfico procedente de otro host o destinado a este. Las asociaciones de seguridad se pueden establecer a través de Internet Key Exchange (IKE) o el protocolo IP autenticado. En esencia, necesitamos una forma de establecer una asociación de seguridad con la víctima, para que esta sepa cómo descifrar los datos entrantes del atacante.

Para fines de prueba, en lugar de implementar IKE, decidí crear manualmente una asociación de seguridad en la víctima. Esto se puede hacer mediante la plataforma de filtrado de Windows WinAPI (WFP). La entrada en el blog de Numen afirmaba que no es posible utilizar WFP para la gestión de claves secretas. Sin embargo, eso es incorrecto y, modificando el código de ejemplo proporcionado por Microsoft, es posible establecer una clave simétrica que la víctima utilizará para descifrar los paquetes de ESP procedentes de la IP del atacante.

Explotación

Ahora que la víctima sabe cómo descifrar el tráfico de ESP de nosotros (el atacante), podemos construir paquetes de ESP cifrados y malformados usando scapy. Con scapy, podemos enviar paquetes en la capa IP. El proceso de explotación es simple:

Captura de pantalla del código Python que define una función llamada exploit. El código construye un paquete de IPv6 con una dirección de origen, calcula data_size usando max(frag_size*2, 0x200), crea una solicitud de eco ICMPv6, agrega un encabezado de fragmento de IPv6 y fragmenta el paquete. Un bucle modifica el campo Next Header a 0x41 (escritura de desbordamiento), cifra el paquete y lo envía.

CVE-2022-34718 PoC

Creo un conjunto de paquetes fragmentados a partir de una solicitud ICMPv6 Echo. Luego, para cada fragmento, se cifran en una capa ESP antes de enviar.

Primitiva

A partir del diagrama de análisis de causa principal que se muestra arriba, sabemos que nuestra primitiva nos da una escritura fuera de límites en

offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)

El valor de la escritura se puede controlar a través del valor del campo Next Header. Establecí este valor en la línea 36 en mi exploit anterior (0x41 😉).

Denegación del servicio (DoS)

Corromper solo un byte en un desplazamiento aleatorio del NetIoProtocolHeader2  pool (donde se asigna el búfer de destino), por lo general no provoca un bloqueo inmediato. Podemos bloquear el objetivo de forma confiable insertando encabezados adicionales dentro del mensaje fragmentado que se va a analizar, o enviando repetidamente pings al objetivo después de corromper una gran parte del pool.

Limitaciones que debe superar RCE

offset está controlado por el atacante; sin embargo, según el RFC de ESP, se requiere un relleno para que el campo del valor de comprobación de integridad (ICV) (si está presente) se alinee en un límite de 4 bytes.

Porque

sizeof(Padding Length) = sizeof(Next Header) = 1,

 

sizeof(Payload Data) + sizeof(Padding) + 2

debe estar alineado en 4 bytes.

Y por lo tanto:

offset = 4n - 1

Donde n puede ser cualquier número entero positivo, limitado por el hecho de que los datos de carga útil y el relleno deben caber en un solo paquete y, por lo tanto, están limitados por la MTU (tamaño de trama). Esto es problemático porque significa que los punteros completos no se pueden sobrescribir. Esto es limitante, pero no necesariamente prohibitivo; aún podemos sobrescribir el desplazamiento de una dirección en un objeto, un tamaño, un contador de referencia, etc. Las posibilidades disponibles para nosotros dependen de qué objetos se pueden pulverizar en el pool del kernel donde se asigna el HeaderBuff víctima.

Investigación del heap grooming

Vista cercana del código

El pool de kernel afectado en WinDbg

El búfer fuera de los límites de la víctima se asigna en el NetIoProtocolHeader2 pool. Los primeros pasos en la investigación de heap grooming son: examinar el tipo de objetos asignados en este pool, qué contiene, cómo se utilizan y cómo se asignan y liberan los objetos. Esto nos permitirá examinar cómo se puede utilizar la primitiva de escritura para obtener una fuga o construir una primitiva más fuerte. No estamos necesariamente restringidos a NetIoProtocolHeader2 . Sin embargo, debido a que no se puede predecir la posición de la víctima fuera de los límites del búfer y la dirección de los pools circundantes es aleatoria, apuntar a otros grupos parece un desafío.

Demostración

Vea la demostración que explota CVE-2022-34718 "EvilESP" para DoS a continuación:

Puntos clave

Dicho así, el error parece bastante sencillo. Sin embargo, se necesitaron varios días de ingeniería inversa y aprendizaje sobre varias pilas y protocolos de red para comprender el panorama completo y escribir un exploit de DoS. Muchos investigadores dirán que ajustar la configuración y entender el entorno es la parte más laboriosa y tediosa del proceso, y esta no fue una excepción. Estoy muy contento de haber decidido realizar este breve proyecto; ahora entiendo mucho mejor IPv6, IPsec y la fragmentación.

Para saber cómo IBM Security X-Force puede ayudarle con los servicios de seguridad ofensiva, programe una reunión de consulta sin costo aquí: IBM X-Force Scheduler.

Si tiene problemas o un incidente de ciberseguridad, comuníquese con X-Force para obtener ayuda: línea directa en EE. UU. 1-888-241-9812 | Línea directa global (+001) 312-212-8034.

