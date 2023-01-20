الأمن

تحليل واستغلال ثغرة الـ RAG في بروتوكول TCP/IP المعروفة بـ "EvilESP"

رسم توضيحي لشخصين يحملان درعًا يحتوي على قفل في المنتصف

كشف Patch Tuesday في سبتمبر عن ثغرة أمنية حساسة عن بُعد في tcpip.sys، CVE-2022-34718. تنص الرسالة من Microsoft على: "قد يرسل مهاجم غير مصادق عليه حزمة IPv6 مصممة خصيصًا إلى عقدة Windows حيث يتم تفعيل IPsec، مما قد يتيح استغلالاً لتنفيذ الشيفرة عن بُعد على ذلك الجهاز."

عادةً ما تثير الثغرات الأمنية عن بُعد الكثير من الاهتمام، ولكن حتى بعد مرور أكثر من شهر على التصحيح، لم يتم نشر أي معلومات إضافية خارج إرشادات Microsoft علنًا. ومن جانبي، لقد مر وقت طويل منذ أن حاولت إجراء تحليل فرق تصحيح الملف التنفيذي، لذلك اعتقدت أن هذه الثغرة الأمنية ستكون مناسبة للقيام بالتحليل الأساسي وإثبات مفهوم (PoC) لمنشور مدونة.

في 21 أكتوبر من العام الماضي، نشرت عرضًا توضيحيًا للاستغلال وتحليل السبب الأساسي للخطأ. وبعد ذلك بوقت قصير، نشرت Numen Cyber Labs منشور مدونة حول الثغرة، باستخدام طريقة استغلال مختلفة عن التي استخدمتها في العرض التوضيحي.

في هذه المدونة، وهي مقال لاحق لفيديو الاستغلال الذي نشرته، أقدّم شرحًا متعمقًا لعملية الهندسة العكسية الخاصة بالثغرة، كما أصحّح بعض المعلومات غير الدقيقة التي وجدتها في مدونة Numen Cyber Labs.

في الأقسام التالية، سأغطي في الأقسام التالية الهندسة العكسية لتصحيح CVE-2022-34718، والبروتوكولات المتأثرة، وتحديد الخطأ، وإعادة إنتاجه. سأضع مخططًا لإعداد بيئة اختبار وأكتب استغلال لتفعيل الخطأ وتسبب هجوم لحجب الخدمة (DoS). وأخيرًا، سأنظر إلى العناصر الأولية للاستغلال وأشرح الخطوات التالية لتحويل هذه العناصر إلى تنفيذ كود عن بُعد (RCE).

توسيع نطاق التصحيح

لا تحتوي نصيحة Microsoft الاستشارية على أي تفاصيل محددة عن الثغرة الأمنية باستثناء أنها موجودة في برنامج تشغيل TCP/IP وتتطلب تمكين IPsec. ومن أجل تحديد السبب المحدد للثغرة الأمنية، سنقوم بمقارنة الملف التنفيذي بعد التصحيح بالملف التنفيذي قبل التصحيح ومحاولة استخراج الفرق باستخدام أداة تسمى BinDiff.

لقد استخدمت Winbindex للحصول على إصدارين من tcpip.sys: واحد قبل التصحيح مباشرةً والآخر بعده مباشرةً، لكلاهما لإصدار واحد من Windows. ويُعد الحصول على إصدارات متسلسلة من الملفات التنفيذية أمرًا مهمًا، لأنه حتى باستخدام الإصدارات التي تضم تحديثات قليلة يمكن أن يؤدي إلى حدوث تشويش من الاختلافات التي لا تتعلق بالتصحيح، ويتسبب في إهدار الوقت أثناء إجراء التحليل. ولقد جعلت Winbindex تحليل التصحيح أسهل من أي وقت مضى، حيث يمكنك الحصول على أي نظام ملف تنفيذي لنظام Windows بدءًا من إصدار Windows 10. ولقد قمت بتحميل كلا الملفين في Ghidra، وطبقت ملفات قاعدة بيانات البرنامج (pdb)، وقمت بتشغيل التحليل التلقائي (التحقق من مكتشف أن التعليمات القوي يعمل بشكل أفضل). وبعد ذلك، يمكن تصدير الملفات إلى تنسيق BinExport باستخدام الامتداد BinExport for Ghidra. ويمكن بعد ذلك تحميل الملفات إلى BinDiff لإنشاء فرق والبدء في تحليل الاختلافات بينها:

عرض مقارنة لملفي نظام باستخدام BinDiff، يُظهر الدوال المتطابقة بنسبة %100 بين tcpip_old.sys وtcpip_new.sys. ويتضمن مخططًا دائريًا، ودرجة تشابه 0.99، ومخطط شريطي يشير إلى تشابه وظيفي متطابق تقريبًا. ويتم عرض تفاصيل الملفات مثل المسارات والتجزئة والبنية (x86-64) وعدد الوظائف (5487).

ملخص BinDiff يقارن بين الملفات التنفيذية ما قبل التصحيح وبعده

يعمل BinDiff عن طريق مطابقة الدوال في الملفات التنفيذية التي تتم مقارنتها باستخدام خوارزميات مختلفة. وفي هذه الحالة، قمنا بتطبيق معلومات رمز الدالة من Microsoft، بحيث يمكن مطابقة جميع الدوال بالاسم.

مقارنة تفصيلية للوظائف المتطابقة بين ملفين من ملفات النظام، تُظهر تشابهًا بنسبة %100 في الكتل والقفزات الأساسية، وفرق في التعليمات بنسبة %15.8. وتتضمن مخططات دائرية، ودرجة تشابه بنسبة 0.99، ومخطط شريطي. وفيما يلي، يسرد الجدول 5.487 دوال متطابقة مع أعمدة توضح درجة التشابه، ومستوى الثقة، والأسماء الأساسية والثانوية، والعناوين، والنوع، والكتل الأساسية والقفزات، مع تمييز القيم ذات التشابه العالي باللون الأخضر.

قائمة الدوال المتطابقة مُرتبة حسب التشابه

نلاحظ فيما سبق وجود وظيفتين فقط متشابهتين أقل من 100%. والوظيفتان اللتان تم تغييرهما بواسطة التصحيح هما IppReceiveEsp  و Ipv6pReassembleDatagram .

تحليل السبب الأساسي للثغرات الأمنية

تظهر الأبحاث السابقة أن Ipv6pReassembleDatagram الدالة تعالج الوظيفة إعادة تجميع حزم Ipv6 المجزأة.

اسم الدالة IppReceiveEsp يبدو أنه يشير إلى أن هذه الوظيفة تعالج استقبال حزم IPsec ESP.

قبل التعمق في التصحيح، سأتناول بإيجاز تجزئة IPv6 وIPsec. وسيساعد وجود فهم عام لبنى الحزم هذه عند محاولة تنفيذ الهندسة العكسية للتصحيح.

تجزئة IPv6:

يمكن تقسيم حزمة IPv6 إلى أجزاء مع إرسال كل جزء كحزمة منفصلة. وبمجرد وصول جميع الأجزاء إلى الوجهة، يعيد جهاز الاستقبال تجميعها لتكوين الحزمة الأصلية.

يوضح الرسم البياني أدناه التجزئة:

رسم تخطيطي يوضح تجزئة حزمة IPv6. وتحتوي الحزمة الأصلية على عنوان IPv6 وعنوان ملحق اختياري وعنوان TCP وحمولة TCP. وتنقسم إلى ثلاث حزم مجزأة، كل منها بعنوان IPv6 الخاص به، وعنوان الملحق الاختياري، وعنوان الجزء الخاص به، وأجزاء تحمل الأرقام 1 و2 و3.

رسم توضيحي لتجزئة IPv6

وفقًا لـ RFC، يتم تنفيذ التجزئة عبر عنوان ملحق يسمى عنوان الجزء، والذي له التنسيق التالي:

رسم تخطيطي لتنسيق عنوان جزء من IPv6 يوضح مواضع البت من 0 إلى 31 عبر صفين. وتتضمن الحقول العنوان التالي، والحقول المحجوزة، وإزاحة الجزء، وحقلين أحاديي البت بعنوان Res وM، وحقل تعريف كبير يمتد إلى الصف الثاني.

تنسيق عنوان تجزئة IPv6

حيث يكون حقل العنوان التالي هو نوع العنوان الموجود في البيانات المجزأة.

IPsec (ESP):

IPsec عبارة عن مجموعة من البروتوكولات التي يتم استخدامها معًا لإعداد اتصالات مشفرة. وغالبًا ما يتم استخدامها لإعداد الشبكات الافتراضية الخاصة (VPN). ومن الجزء الأول من تحليل التصحيح، نعلم أن الخطأ مرتبط بمعالجة حزم ESP، لذلك سنركز على بروتوكول تضمين الحمولة الأمنية المغلفة (ESP).

كما يوحي الاسم، يقوم بروتوكول ESP بتشفير (تغليف) محتويات الحزمة. وهناك وضعان: في وضع النفق، يتم تضمين نسخة من عنوان IP في الحمولة المشفرة، وفي وضع النقل حيث يتم تشفير جزء طبقة النقل فقط من الحزمة. مثل تجزئة IPv6، يتم تنفيذ ESP كعنوان ملحق. وفقًا لـ RFC، يتم تنسيق حزمة ESP على النحو التالي:

تنسيق المستوى الأعلى لحزمة ESP.

حيث يشتمل حقلا مُعرّف معلمات الأمان (SPI) ورقم التسلسل على عنوان ملحق ESP، ويتم تشفير الحقول بين بيانات الحمولة والعنوان التالي وتتضمنهما. يصف حقل العنوان التالي العنوان الموجود في بيانات الحمولة.

الآن مع وجود تمهيد لتجزئة Ipv6 وIPsec ESP، يمكننا الاستمرار في تحليل فرق التصحيح من خلال تحليل الدالتين اللتين وجدنا أنهما مصححتان

Ipv6pReassembleDatagram

بمقارنة مخططات الدوال جنبًا إلى جنب، يمكننا ملاحظة أنه تمت إضافة كتلة رمز جديد واحد إلى الدالة بعد تطبيق التصحيح:

مقارنة بين مخططين هرميَّين للتدفق المسمى "أساسي" على اليسار باللون الأزرق و"ثانوي" على اليمين بالأحمر. ويتكون كلا المخططين من عقد مستطيلة مترابطة باللونين الأخضر والأصفر، تمثل هياكل متشابهة. ويحتوي المخطط الثانوي على عقدة واحدة محاطة بدائرة باللون الوردي بالقرب من الجزء العلوي.

مقارنة جنبًا إلى جنب بين مخططات الدالة IPv6ReassembleDatagram قبل التصحيح وبعده

لنلقِ نظرة فاحصة على الكتلة:

مقتطفات من الرموز للتجميع للدالة Ipv6pReassembleDatogram. تُظهر عناوين الذاكرة على اليسار والتعليمات على اليمين: MOVZX EAX، word ptr [RBX + 0xbc]، CMP EAX، EDX وJBE LAB_1c0199c07. ويتم تمييز الكتلة بأسهم حمراء وخضراء متقطعة تشير إلى الأسفل.

كتلة الرموز الجديدة في الدالة المصححة

تقوم كتلة الرموز الجديدة بمقارنة رقمين صحيحين بدون إشارة (في السجلات EAX وEDX) والانتقال إلى كتلة إذا كانت إحدى القيم أقل من الأخرى. فلنلقِ نظرة على كتلة الوجهة:

كتلة كود التجميع للدالة Ipv6pReassembleDatagram، معروضة بعناوين الذاكرة على اليسار والتعليمات على اليمين. تتضمن التعليمات LEA RCX و[R15 + 0x4f50] وMOV R8B وR13B وMOV RDX وRBX وCALL IppDeleteFromReassemblySet وJMP LAB_1c019a006. ويتم تمييز الكتلة باللون الأخضر بأسهم تشير إليها من اتجاهات متعددة.

يحتوي الرمز الهدف على استدعاء غير مشروط للدالة IppDeleteFromReassemblySet . إذا أخذنا التخمين من اسم هذه الدالة، يبدو أن هذه الكتلة مخصصة لمعالجة الأخطاء. ويمكننا أن نستنتج أن الكود الجديد الذي تمت إضافته هو نوع من التحقق من الحدود، وكان هناك "goto error " يتم إدراج سطر في الكود، إذا فشل الفحص.

وباستخدام لمحة الفهم هذه، يمكننا إجراء تحليل ثابت باستخدام أداة فكّ الترجمة.

نشر 0vercl0ck سابقًا منشورًاعلى مدونته يقوم فيه بتحليل الثغرات الأمنية المتعلقة بثغرة أمنية مختلفة في IPv6، وتعمق في الهندسة العكسية لملف tcpip.sys. ومن خلال هذا العمل وبعض الهندسة العكسية الإضافية، تمكنت من ملء تعريفات البنى غير الموثقة Packet_t  و Reassembly_t  الكائنات، بالإضافة إلى تحديد اثنين من تعيينات المتغيرات المحلية المهمة.

لقطة شاشة لمصدر الرمز C ++ للدالة Ipv6pReassembleDatagram. يتضمن الرمز إقرارات متغيرة وفحوصات شرطية واستدعاءات للدوال مثل NetioAllocateAndReferenceNetBufferAndNetBufferList وIppDeleteFromReassemblySet وIppCopyPacket. ويُظهر السطر المظلل باللون الوردي الشرط "if (Reassembly->nextheader_offset == HeaderBufferLen" داخل كتلة if.

مخرجات فك ترجمة Ipv6ReassembleDatagram

في مقتطفات الرموز أعلاه، يحيط المربع الوردي اللون بالرموز الجديدة المضافة بواسطة التصحيح. Reassembly->nextheader_offset  يحتوي على إزاحة البايت الخاصة بـ next_header field  في عنوان تجزئة IPv6. يقارن فحص الحدود next_header_offset  بطول مخزن العنوان المؤقت. عند السطر 29، HeaderBufferLen  يستخدم لتخصيص مخزن مؤقت وعلى السطر 35، Reassembly->nextheder_offset تُستخدم علامة > للفهرسة والنسخ في المخزن المؤقت المخصص.

نظرًا لأنه تمت إضافة هذا الفحص، فإننا نعلم الآن أن هناك شرطًا يسمح بذلك nextheader_offset  لتجاوز طول المخزن المؤقت للعنوان. سننتقل إلى الوظيفة المصححة الثانية للبحث عن المزيد من الإجابات.

IppReceiveEsp

بالنظر إلى مخطط الوظيفة جنبًا إلى جنب في مساحة عمل BinDiff، يمكننا تحديد بعض كتل الرموز الجديدة التي تم إدخالها في الدالة المصححة:

مقارنة جنبًا إلى جنب بين اثنين من الرسوم البيانية لتدفق التحكم للوظيفة IPpreceiveesp. إن المخطط الأيسر مكتوب عليه "أساسي" باللون الأزرق، والمخطط الأيمن مكتوب عليه "ثانوي" باللون الأحمر. ويحتوي كلا المخططين على كتل مترابطة من تعليمات التجميع باللونين البيج والأخضر. ويحتوي المخطط الثانوي على قسم مظلل بشكل بيضاوي وردي حول كتلتين مركزيتين.

مقارنة جنبًا إلى جنب لمخططات الدالة IppReceiveEsp قبل التصحيح وبعده

تُظهر الصورة أدناه عملية فك الدالة IppReceiveEsp ، يوجد صندوق وردي يحيط بالكتلة الجديدة من الكود التي أُضيفت بعد تطبيق التصحيح.

لقطة شاشة لمصدر الرمز C ++ للدالة IppReceiveEsp. وتتضمن الرموز إقرارات متغيرة وعبارات شرطية واستدعاءات للدوال. ويُظهر القسم المظلل باللون الوردي كتلة شرطية تتحقق من قيم Packet->NextHeader وتستدعي IppDiscardReceivedPackets، متبوعًا بإعدادات STATUS_DATA_NOT_ACCEPTED.

مخرجات فك ترجمة IppRessiveESP

هنا، تمت إضافة فحص جديد لفحص حقل العنوان التالي لحزمة ESP. ويحدد حقل العنوان التالي رأس حزمة ESP التي تم فك تشفيرها. وتذكر أن قيمة العنوان التالي يمكن أن تتوافق مع بروتوكول الطبقة العليا (مثل TCP أو UDP) أو عنوان الملحق (مثل عنوان التجزئة أو عنوان التوجيه). إذا كانت القيمة في NextHeader هي 0، أو 0x2B أو 0x2C، IppDiscardReceivedPackets فإنه يتم استدعاء وتعيين رمز الخطأ إلى STATUS_DATA_NOT_ACCEPTED . تتوافق هذه القيم مع خيار قفزة بقفزة IPv6، وعنوان التوجيه لـ IPv6، وعنوان التجزئة لـ IPv6، على التوالي.

وبالرجوع إلى RFC الخاص بـ ESP، ينص على أنه "في سياق IPv6، يُنظر إلى ESP على أنه حمولة من طرف إلى طرف، وبالتالي يجب أن يظهر بعد عناوين الإضافات التي تعمل بالتدرج، والتوجيه، والتجزئة." والآن أصبحت المشكلة واضحة. إذا كان عنوان من هذه الأنواع موجودًا في حمولة ESP، فإنه ينتهك RFC للبروتوكول، وسيتم تجاهل الحزمة.

تجميع كل شيء معًا

والآن وقد قمنا بتشخيص التصحيحات في وظيفتين مختلفتين، يمكننا معرفة كيفية ارتباطهما. في الوظيفة الأولى Ipv6ReassembleDatagram ، قررنا أن الإصلاح كان لتجاوز سعة المخزن المؤقت.

لقطة شاشة لمصدر الرمز C ++ للدالة Ipv6pReassembleDatagram. ويتضمن الرمز إقرارات متغيرة وفحوصات شرطية واستدعاءات للدوال. ويُظهر القسم المظلل باللون الوردي الشرط "if (Reassembly->nextheader_offset == HeaderBufferLen)" داخل كتلة if، متبوعًا بمنطق لتخصيص المخازن المؤقتة للشبكة ومعالجتها.

مخرجات فك ترجمة Ipv6ReassembleDatagram

تذكّر أنه يتم حساب حجم مخزن الذاكرة المستهدف على أنه مجموع حجم عناوين الامتداد، بالإضافة إلى حجم نوان IPv6 (السطر 10 أعلاه). والآن، ارجع مرة أخرى إلى التصحيح الذي تم إدخاله (السطر 16). Reassembly->nextheader_offset  يشير إلى إزاحة قيمة العنوان التالي للمخزن المؤقت الذي يحتفظ ببيانات الجزء.

والآن ارجع إلى بنية حزمة ESP:

مخطط لتنسيق حزمة IPsec ESP يوضح مواضع البت من 0 إلى 31 عبر صفوف متعددة. وتتضمن الحقول مُعرف معلمات الأمان (SPI)، ورقم التسلسل، وبيانات الحمولة متغيرة الطول، والحشو (0–255 بايت)، وطول الحشو، والعنوان التالي، وقيمة التحقق من السلامة (ICV). وتشير العلامات العمودية إلى تغطية النزاهة والسرية

تنسيق المستوى الأعلى لحزمة ESP

لاحظ أن حقل  العنوان التالي يأتي *بعد* بيانات الحمولة. وهذا يعني أنه Reassembly->nextheader_offset  سيتضمن حجم بيانات الحمولة، التي يتم التحكم فيها بواسطة حجم البيانات، ويمكن أن يكون أكبر بكثير من حجم عناوين الملحقات. ويوجد الموقع المتوقع لحقل العنوان التالي داخل عنوان الملحق أو عنوان Ipv6. وفي حزمة ESP، ليست داخل العنوان، لأنها موجودة بالفعل في الجزء المشفر من الحزمة.

رسم توضيحي يشرح السبب الأساسي لـ CVE-2022-34718. ويُظهر بنية حزمة IPv6 مع العناوين والحمولة والحشو وICV. يسلط الضوء على حجم الحمولة التي يتحكم فيها المهاجم وعدم التطابق بين موضع العنوان التالي المتوقع والفعلي.

السبب الأساسي الموضح لـ CVE-2022-34718

ارجع الآن إلى السطر 35 من Ipv6ReassembleDatagram وهنا تحديدًا تحدث عملية كتابة خارج حدود الذاكرة بمقدار بايت واحد (حجم وقيمة NextHeader ).

إعادة إنتاج الخطأ

نحن نعلم الآن أنه يمكن تشغيل الخطأ عن طريق إرسال مخطط بيانات مجزأ IPv6 عبر حزم IPsec ESP.

السؤال التالي الذي يجب الإجابة عنه: كيف سيتمكن الهدف من فك تشفير حزم ESP؟

للإجابة على هذا السؤال، حاولت أولاً إرسال حزم إلى الهدف تحتوي على عنوان ESP مع بيانات غير مهمة وتضع نقطة توقف على الدالة المُعرضة للثغرة.IppReceiveEsp الدالة ، لمعرفة ما إذا كان يمكن الوصول إلى الدالة أم لا. تم الوصول إلى نقطة الإيقاف، لكن الوظيفة الداخلية التي اعتقدت أنها قامت بفك تشفير IppReceiveEspNbl ، قامت بإرجاع خطأ، وبالتالي لم يتم الوصول إلى الرمز المُعرض للثغرة. وقمت لاحقًا بعكس الهندسة العكسيةIppReceiveEspNbl وأكملت العمل على طريقي لأجد نقطة الفشل. وهذا هو المكان الذي علمت فيه أنه من أجل فك تشفير حزمة ESP بنجاح، فإنه يجب إنشاء ارتباط أمني.

يتكون الارتباط الأمني من حالة مشتركة، بشكل أساسي مفاتيح ومعلمات التشفير التي يتم الاحتفاظ بها بين نقطتي نهاية لتأمين حركة المرور بينهما. بعبارة بسيطة، يحدد الارتباط الأمني كيفية قيام المضيف بتشفير/فك تشفير/التحقق من صحة حركة البيانات القادمة من مضيف آخر أو المتجهة إليه. ويمكن إنشاء ارتباطات أمنية عبر تبادل مفاتيح الإنترنت (IKE) أو بروتوكول IP المصادق عليه. وفي الأساس، نحتاج إلى طريقة لإنشاء ارتباط أمني مع الضحية، بحيث تعرف كيفية فك تشفير البيانات الواردة من المهاجم.

لأغراض الاختبار، بدلاً من تنفيذ IKE، قررت إنشاء ارتباط أمني للهدف يدويًا. ويمكن القيام بذلك باستخدام منصة ترشيح Windows WinAPI (WFP). ذكر منشور مدونة Numen أنه من غير الممكن استخدام WFP لإدارة المفاتيح السرية. ومع ذلك، هذا غير صحيح، ومن خلال تعديل نموذج الرموز المقدمة من Microsoft، من الممكن تعيين مفتاح متماثل يستخدمه الهدف لفك تشفير حزم ESP القادمة من عنوان IP المهاجم.

النشرة الإخبارية الخاصة بالمجال

أحدث الأخبار التقنية، مدعومة برؤى خبراء

ابقَ على اطلاع دائم على أبرز الاتجاهات في مجالات الذكاء الاصطناعي، والأتمتة، والبيانات، وغيرها الكثير من خلال رسالة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.

شكرًا لك! أنت مشترك.

سيصلك محتوى الاشتراك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك من هنا. لمزيد من المعلومات، راجع بيان خصوصية IBM.

الاستغلال

والآن بعد أن أصبح الهدف يعرف كيفية فك تشفير حركة مرور ESP منا (المهاجم)، يمكننا إنشاء حزم ESP مشفرة مشوهة باستخدام scapy. باستخدام scape، يمكننا إرسال الحزم إلى طبقة IP. عملية الاستغلال بسيطة:

لقطة شاشة من لرمز Python يحدد دالة باسم يستغل. وينشئ الرمز حزمة IPv6 مع عنوان مصدر، ويحسب data_size (حجم البيانات) باستخدام الحد الأقصى (frag_size*2، 0x200)، وينشئ طلب ICMPv6 echo ويضيف عنوان جزء IPv6 ويجزئ الحزمة. وتقوم الحلقة بتعديل حقل العنوان التالي إلى 0x41 (الكتابة الزائدة) وتشفير الحزمة وترسلها.

CVE-2022-34718 PoC

قمت بإنشاء مجموعة من الحزم المجزأة من طلب ICMPv6 Echo. ثم يتم تشفيرها لكل جزء في طبقة ESP قبل إرسالها.

عنصر أولي

من الرسم البياني تحليل السبب الأساسي الموضح أعلاه، نعلم أن العنصر الأولي لدينا يمنحنا كتابة خارج الحدود عند

offset = sizeof(Payload Data) + sizeof(Padding) + sizeof(Padding Length)

يمكن التحكم في قيمة الكتابة عبر قيمة حقل العنوان التالي. قمت بضبط هذه القيمة على السطر 36 في استغلالي أعلاه (0x41 😉).

هجوم لحجب الخدمة (DoS)

إفساد بايت واحد فقط إلى إزاحة عشوائية من NetIoProtocolHeader2  المجموعة (حيث يتم تخصيص المخزن المؤقت المستهدف)، لا يتسبب عادةً في حدوث عطل على الفور. ويمكننا تحطيم الهدف بشكل موثوق عن طريق إدخال عناوين إضافية داخل الرسالة المجزأة لتحليلها، أو عن طريق اختبار اتصال الهدف بشكل متكرر بعد إتلاف جزء كبير من المجموعة.

القيود المفروضة على التغلب على RCE

offset يتم التحكم فيه من قبل المهاجم، ومع ذلك، وفقًا لمعيار ESP RFC، يلزم وجود حشو بحيث يتم محاذاة حقل قيمة فحص التكامل (ICV) (إن وجد) على حد 4 بايت.

لأن

sizeof(Padding Length) = sizeof(Next Header) = 1,

 

sizeof(Payload Data) + sizeof(Padding) + 2

يجب محاذاة 4 بايت.

ولذلك:

offset = 4n - 1

حيث يمكن أن يكون n أي عدد صحيح موجب، مقيدًا بحقيقة أن بيانات الحمولة والحشو يجب أن تتناسب مع حزمة واحدة، وبالتالي فهي محدودة بواسطة MTU (حجم الإطار). وهذا يمثل مشكلة لأنه يعني أنه لا يمكن الكتابة فوق المؤشرات الكاملة. هذا أمر مقيد، ولكنه ليس بالضرورة باهظًا؛ ولا يزال بإمكاننا استبدال إزاحة العنوان في كائن أو حجم أو عداد مرجعي وما إلى ذلك. تعتمد الإمكانيات المتاحة لنا على الكائنات التي يمكن رشها في مجموعة kernel حيث يتم تخصيص headerBuf الهدف.

البحث حول تهيئة الكومة

منظر قريب للرمز

مجموعة النواة المتأثرة في WinDbg

يتم تخصيص المخزن المؤقت للضحية خارج الحدود في NetIoProtocolHeader2 المجموعة. تُعد الخطوات الأولى في أبحاث تنظيف الذاكرة: فحص نوع الكائنات التي يتم تخصيصها داخل هذا المجموعة، وما تحتويه هذه الكائنات، وكيفية استخدامها، بالإضافة إلى آلية تخصيص الكائنات وتحريرها. وسيسمح لنا ذلك بفحص كيفية استخدام العناصر الأولية للكتابة للحصول على تسريب للمعلومات أو لبناء عنصر أولي أقوى. ولسنا بالضرورة مقيّدين بـ NetIoProtocolHeader2 . "ومع ذلك، بما أن موقع المخزن المؤقت المتجاوز للحدود الهدف لا يمكن التنبؤ به، وعنوان المجموعات المحيطة عشوائي، فإن استهداف مجموعات أخرى يبدو أمرًا صعبًا.

عرض توضيحي

شاهد العرض التوضيحي الذي يستغل CVE-2022-34718 "EvilESP" لـ CVE-2022-34718 ‘EvilESP’ لنظام تشغيل الحواسيب دوس (DoS) أدناه:

النقاط

عندما يتم التخطيط لذلك، يبدو الخطأ بسيطًا جدًا. ومع ذلك، استغرق الأمر عدة أيام طويلة من الهندسة العكسية والتعلم عن مجموعات وبروتوكولات الشبكات المختلفة لفهم الصورة الكاملة وكتابة ثغرة يستغل نظام تشغيل الحواسيب نظام تشغيل الحواسيب دوس (DoS). وسيقول العديد من الباحثين أن تكوين الإعداد وفهم البيئة هو الجزء الأكثر استهلاكًا للوقت والممل من العملية، ولم يكن هذا استثناءً. أنا سعيد للغاية لأنني قررت تنفيذ هذا المشروع القصير؛ أنا أفهم Ipv6 وIPsec والتجزئة بشكل أفضل الآن.

للتعرف على كيف يمكن لـ IBM Security X-Force مساعدتك في خدمات الأمن الهجومي، حدد موعدًا لاجتماع استشاري مجاني هنا: IBM X-Force Scheduler.

إذا كنت تعاني من مشاكل الأمن السيبراني أو حدث، اتصل بـ X-Force للمساعدة: خط ساخن الولايات المتحدة 1-888-241-9812 | الخط الساخن العالمي (+001) 312-212-8034.

Mixture of Experts | 12 ديسمبر، الحلقة 85

فك تشفير الذكاء الاصطناعي: تقرير إخباري أسبوعي

انضمّ إلى نخبة من المهندسين والباحثين وقادة المنتجات وغيرهم من الخبراء وهم يقدّمون أحدث الأخبار والرؤى حول الذكاء الاصطناعي، بعيدًا عن الضجيج الإعلامي.
شاهد جميع حلقات برنامج Mixture of Experts