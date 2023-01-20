El martes de parches de septiembre reveló una vulnerabilidad remota crítica en
tcpip.sys, CVE-2022-34718. El aviso de Microsoft dice: "Un atacante no autenticado podría enviar un paquete IPv6 especialmente diseñado a un nodo de Windows donde está habilitado IPsec, lo que podría permitir una explotación de ejecución remota de código en esa máquina".
Las vulnerabilidades remotas puras suelen generar mucho interés, pero incluso más de un mes después del parche, no se había publicado ninguna información adicional fuera del aviso de Microsoft. Por mi parte, había pasado mucho tiempo desde que intenté hacer un análisis de diferencias de parches binarios, así que pensé que este sería un buen error para hacer un análisis de causa principal y elaborar una prueba de concepto (PoC) para una entrada en el blog.
El 21 de octubre del año pasado, publiqué una demostración de exploit y un análisis de la causa principal del error. Poco después, Numen Cyber Labs publicó una entrada en el blog y una PoC sobre la vulnerabilidad utilizando un método de explotación diferente al que utilicé en mi demostración.
En este blog, mi artículo de seguimiento a mi video de exploit, incluyo una explicación detallada de la ingeniería inversa del error y corrijo algunas imprecisiones que encontré en el blog de Numen Cyber Labs.
En las siguientes secciones, cubro la ingeniería inversa del parche para CVE-2022-34718, los protocolos afectados, la identificación del error y su reproducción. Describiré la configuración de un entorno de prueba y escribiré un exploit para activar el error y causar una denegación del servicio (DoS). Por último, analizaré las primitivas de exploit y describiré los siguientes pasos para convertir las primitivas en ejecución remota de código (RCE).
El aviso de Microsoft no contiene ningún detalle específico de la vulnerabilidad, excepto que está contenida en el controlador TCP/IP y requiere que IPSec esté habilitado. Para identificar la causa específica de la vulnerabilidad, compararemos el binario parcheado con el binario anterior al parche e intentaremos extraer la diferencia utilizando una herramienta llamada BinDiff.
Utilicé Winbindex para obtener dos versiones de tcpip.sys: una justo antes del parche y otra justo después, ambas para la misma versión de Windows. Es importante obtener versiones secuenciales de los binarios, ya que incluso el uso de versiones separadas por algunas actualizaciones puede introducir ruido de diferencias que no están relacionadas con el parche y hacer que se pierda tiempo mientras se realiza el análisis. Winbindex ha hecho que el análisis de parches sea más fácil que nunca, ya que puede obtener cualquier binario de Windows a partir de Windows 10. Cargué ambos archivos en Ghidra, apliqué los archivos de la base de datos del programa (pdb) y ejecuté el análisis automático (comprobando que el buscador de instrucciones agresivo funciona mejor). Después, los archivos se pueden exportar a un formato BinExport utilizando la extensión BinExport para Ghidra. A continuación, los archivos se pueden cargar en BinDiff para crear un diff y comenzar a analizar sus diferencias:
Resumen de BinDiff que compara los binarios previos y posteriores al parche
BinDiff funciona haciendo coincidir funciones en los binarios que se comparan utilizando varios algoritmos. En este caso, hemos aplicado información de símbolos de función de Microsoft, por lo que todas las funciones pueden coincidir por nombre.
Lista de funciones coincidentes ordenadas por similitud
Arriba vemos que solo hay dos funciones que tienen una similitud inferior al 100 %. Las dos funciones que se modificaron con el parche son:
Investigaciones previas muestran que
la función se encarga del reensamblado de paquetes fragmentados Ipv6.
El nombre de la función
parece indicar que esta función se encarga de recibir paquetes IPsec ESP.
Antes de entrar en el parche, hablaré brevemente sobre la fragmentación de IPv6 e IPsec. Tener una comprensión general de estas estructuras de paquetes ayudará cuando se intente aplicar ingeniería inversa al parche.
Un paquete de IPv6 se puede dividir en fragmentos y cada fragmento se envía como un paquete separado. Una vez que todos los fragmentos llegan al destino, el receptor los vuelve a ensamblar para formar el paquete original.
El siguiente diagrama ilustra la fragmentación:
Ilustración de la fragmentación de Ipv6
Según el RFC, la fragmentación se implementa mediante un encabezado de extensión llamado Fragment, que tiene el siguiente formato:
Formato de encabezado de fragmento de IPv6
Donde el campo Next Header es el tipo de encabezado presente en los datos fragmentados.
IPsec es un grupo de protocolos que se utilizan juntos para configurar conexiones cifradas. A menudo se utiliza para configurar redes privadas virtuales (VPN). Desde la primera parte del análisis de parches, sabemos que el error está relacionado con el procesamiento de paquetes de ESP, por lo que nos centraremos en el protocolo Encapsulating Security Payload (ESP).
Como su nombre indica, el protocolo de ESP cifra (encapsula) el contenido de un paquete. Hay dos modos: en el modo túnel , se incluye una copia del encabezado IP en la carga útil cifrada, y en el modo transporte , solo se cifra la parte de la capa de transporte del paquete. Al igual que la fragmentación de IPv6, ESP se implementa como un encabezado de extensión. Según el RFC, un paquete de ESP se formatea de la siguiente manera:
Formato de nivel superior de un paquete de ESP.
Donde los campos Security Parameters Index (SPI) y Sequence Number comprenden el encabezado de la extensión de ESP, y los campos entre los datos de carga útil y el encabezado siguiente están encriptados. El campo Next Header describe el encabezado contenido en los datos de carga útil.
Ahora, con una introducción a la fragmentación de Ipv6 e IPsec ESP, podemos continuar con las diferencias de parches analizando las dos funciones que encontramos que fueron parcheadas
Al comparar en paralelo los gráficos de funciones, podemos ver que se ha introducido un único bloque de código nuevo en la función parcheada:
Comparación en paralelo de los gráficos de funciones anteriores y posteriores al parche de Ipv6ReassembleDatagram
Echemos un vistazo más de cerca al bloque:
Nuevo bloque de código en la función parcheada
El nuevo bloque de código está haciendo una comparación de dos enteros sin signo (en los registros EAX y EDX) y saltando a un bloque si un valor es menor que el otro. Echemos un vistazo a ese bloque de destino:
El código destino tiene una llamada incondicional a la función
Con este insight, podemos realizar un análisis estático en un descompilador.
0vercl0ck publicó anteriormente una entrada en el blog donde hacía un análisis de vulnerabilidad en una vulnerabilidad de Iv6 diferente y profundizó en la ingeniería inversa de tcpip.sys. A partir de este trabajo y algo de ingeniería inversa adicional, pude completar las definiciones de estructura para los objetos
Resultado de la descompilación de Ipv6ReassembleDatagram
En el fragmento de código anterior, la caja rosa rodea el nuevo código agregado por el parche.
Debido a que se agregó esta verificación, ahora sabemos que había una condición que permite
Al observar el gráfico en paralelo de funciones en el espacio de trabajo de BinDiff, podemos identificar algunos bloques de código nuevos introducidos en la función parcheada:
Comparación en paralelo de los gráficos de funciones anteriores y posteriores al parche de IppReceiveEsp
La siguiente imagen muestra la descompilación de la función
Resultado de la descompilación de IppReceiveESP
Aquí, se agregó una nueva verificación para examinar el campo Next Header del paquete de ESP. El campo Next Header identifica el encabezado del paquete de ESP descifrado. Recuerde que un valor Next Header puede corresponder a un protocolo de capa superior (como TCP o UDP) o a un encabezado de extensión (como encabezado de fragmentación o encabezado de enrutamiento). Si el valor en
es 0, 0x2B o 0x2C,
se llama y el código de error se establece en
. Estos valores corresponden a la opción Hop-by-Hop de IPv6, el encabezado de enrutamiento para IPv6 y el encabezado de fragmento para IPv6, respectivamente.
Refiriéndose de nuevo al ESP RFC, afirma: “En el contexto de IPv6, ESP se ve como una carga útil de extremo a extremo y, por lo tanto, debe aparecer después de los encabezados de extensión de salto por salto, enrutamiento y fragmentación”. Ahora el problema queda claro. Si un encabezado de estos tipos está contenido dentro de una carga útil de ESP, viola el RFC del protocolo y el paquete se descartará.
Ahora que hemos diagnosticado los parches en dos funciones diferentes, podemos descubrir cómo están relacionados. En la primera función
Resultado de la descompilación de Ipv6ReassembleDatagram
Recuerde que el tamaño del búfer de víctima se calcula como el tamaño de los encabezados de extensión, más el tamaño de un encabezado de Ipv6 (línea 10 arriba). Ahora consulte el parche que se insertó (línea 16).
Ahora volvamos a la estructura de un paquete de ESP:
Formato de nivel superior de un paquete de ESP
Observe que el campo Next Header aparece *después* de Payload Data. Esto significa que
Causa principal ilustrada de CVE-2022-34718
Ahora volvamos a la línea 35 de
Ahora sabemos que el error puede activarse enviando un datagrama fragmentado de IPv6 a través de paquetes de IPsec ESP.
La siguiente pregunta que hay que responder es: ¿cómo podrá la víctima descifrar los paquetes de ESP?
Para responder a esta pregunta, primero intenté enviar paquetes a una víctima que contenían un encabezado de ESP con datos basura y puse un punto de interrupción en la función vulnerable
Se alcanzó el punto de interrupción, pero la función interna que pensé hizo el descifrado
Realicé aún más ingeniería inversa
y trabajé hasta encontrar el punto de falla. Aquí es donde aprendí que, para descifrar con éxito un paquete ESP, se debe establecer una asociación de seguridad.
Una asociación de seguridad consiste en un estado compartido, principalmente claves y parámetros criptográficos, que se mantiene entre dos endpoint para proteger el tráfico entre ellos. En términos simples, una asociación de seguridad define cómo un host cifrará, descifrará y autenticará el tráfico procedente de otro host o destinado a este. Las asociaciones de seguridad se pueden establecer a través de Internet Key Exchange (IKE) o el protocolo IP autenticado. En esencia, necesitamos una forma de establecer una asociación de seguridad con la víctima, para que esta sepa cómo descifrar los datos entrantes del atacante.
Para fines de prueba, en lugar de implementar IKE, decidí crear manualmente una asociación de seguridad en la víctima. Esto se puede hacer mediante la plataforma de filtrado de Windows WinAPI (WFP). La entrada en el blog de Numen afirmaba que no es posible utilizar WFP para la gestión de claves secretas. Sin embargo, eso es incorrecto y, modificando el código de ejemplo proporcionado por Microsoft, es posible establecer una clave simétrica que la víctima utilizará para descifrar los paquetes de ESP procedentes de la IP del atacante.
Ahora que la víctima sabe cómo descifrar el tráfico de ESP de nosotros (el atacante), podemos construir paquetes de ESP cifrados y malformados usando scapy. Con scapy, podemos enviar paquetes en la capa IP. El proceso de explotación es simple:
CVE-2022-34718 PoC
Creo un conjunto de paquetes fragmentados a partir de una solicitud ICMPv6 Echo. Luego, para cada fragmento, se cifran en una capa ESP antes de enviar.
A partir del diagrama de análisis de causa principal que se muestra arriba, sabemos que nuestra primitiva nos da una escritura fuera de límites en
offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)
El valor de la escritura se puede controlar a través del valor del campo Next Header. Establecí este valor en la línea 36 en mi exploit anterior (0x41 😉).
Corromper solo un byte en un desplazamiento aleatorio del
NetIoProtocolHeader2
está controlado por el atacante; sin embargo, según el RFC de ESP, se requiere un relleno para que el campo del valor de comprobación de integridad (ICV) (si está presente) se alinee en un límite de 4 bytes.
Porque
sizeof(Padding Length) = sizeof(Next Header) = 1,
sizeof(Payload Data) + sizeof(Padding) + 2
debe estar alineado en 4 bytes.
Y por lo tanto:
offset = 4n - 1
Donde n puede ser cualquier número entero positivo, limitado por el hecho de que los datos de carga útil y el relleno deben caber en un solo paquete y, por lo tanto, están limitados por la MTU (tamaño de trama). Esto es problemático porque significa que los punteros completos no se pueden sobrescribir. Esto es limitante, pero no necesariamente prohibitivo; aún podemos sobrescribir el desplazamiento de una dirección en un objeto, un tamaño, un contador de referencia, etc. Las posibilidades disponibles para nosotros dependen de qué objetos se pueden pulverizar en el pool del kernel donde se asigna el
HeaderBuff víctima.
El pool de kernel afectado en WinDbg
El búfer fuera de los límites de la víctima se asigna en el
pool. Los primeros pasos en la investigación de heap grooming son: examinar el tipo de objetos asignados en este pool, qué contiene, cómo se utilizan y cómo se asignan y liberan los objetos. Esto nos permitirá examinar cómo se puede utilizar la primitiva de escritura para obtener una fuga o construir una primitiva más fuerte. No estamos necesariamente restringidos a
. Sin embargo, debido a que no se puede predecir la posición de la víctima fuera de los límites del búfer y la dirección de los pools circundantes es aleatoria, apuntar a otros grupos parece un desafío.
Vea la demostración que explota CVE-2022-34718 "EvilESP" para DoS a continuación:
Dicho así, el error parece bastante sencillo. Sin embargo, se necesitaron varios días de ingeniería inversa y aprendizaje sobre varias pilas y protocolos de red para comprender el panorama completo y escribir un exploit de DoS. Muchos investigadores dirán que ajustar la configuración y entender el entorno es la parte más laboriosa y tediosa del proceso, y esta no fue una excepción. Estoy muy contento de haber decidido realizar este breve proyecto; ahora entiendo mucho mejor IPv6, IPsec y la fragmentación.
