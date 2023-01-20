كشف Patch Tuesday في سبتمبر عن ثغرة أمنية حساسة عن بُعد في tcpip.sys ، CVE-2022-34718. تنص الرسالة من Microsoft على: "قد يرسل مهاجم غير مصادق عليه حزمة IPv6 مصممة خصيصًا إلى عقدة Windows حيث يتم تفعيل IPsec، مما قد يتيح استغلالاً لتنفيذ الشيفرة عن بُعد على ذلك الجهاز."

عادةً ما تثير الثغرات الأمنية عن بُعد الكثير من الاهتمام، ولكن حتى بعد مرور أكثر من شهر على التصحيح، لم يتم نشر أي معلومات إضافية خارج إرشادات Microsoft علنًا. ومن جانبي، لقد مر وقت طويل منذ أن حاولت إجراء تحليل فرق تصحيح الملف التنفيذي، لذلك اعتقدت أن هذه الثغرة الأمنية ستكون مناسبة للقيام بالتحليل الأساسي وإثبات مفهوم (PoC) لمنشور مدونة.

في 21 أكتوبر من العام الماضي، نشرت عرضًا توضيحيًا للاستغلال وتحليل السبب الأساسي للخطأ. وبعد ذلك بوقت قصير، نشرت Numen Cyber Labs منشور مدونة حول الثغرة، باستخدام طريقة استغلال مختلفة عن التي استخدمتها في العرض التوضيحي.

في هذه المدونة، وهي مقال لاحق لفيديو الاستغلال الذي نشرته، أقدّم شرحًا متعمقًا لعملية الهندسة العكسية الخاصة بالثغرة، كما أصحّح بعض المعلومات غير الدقيقة التي وجدتها في مدونة Numen Cyber Labs.

في الأقسام التالية، سأغطي في الأقسام التالية الهندسة العكسية لتصحيح CVE-2022-34718، والبروتوكولات المتأثرة، وتحديد الخطأ، وإعادة إنتاجه. سأضع مخططًا لإعداد بيئة اختبار وأكتب استغلال لتفعيل الخطأ وتسبب هجوم لحجب الخدمة (DoS). وأخيرًا، سأنظر إلى العناصر الأولية للاستغلال وأشرح الخطوات التالية لتحويل هذه العناصر إلى تنفيذ كود عن بُعد (RCE).