Analyse détaillée de CVE-2024-38063 : Une menace critique dans la pile TCP/IP de Windows

CVE-2024-38063 est une vulnérabilité critique de la pile TCP/IP de Windows avec un score CVSS de 9.8, affectant le traitement des paquets IPv6. Des attaquants distants peuvent exploiter cette vulnérabilité en utilisant un débordement d'entier lors du traitement des en-têtes d'extension IPv6, afin d'exécuter du code malveillant ou de provoquer un déni de service.

Étant donné qu'IPv6 est activé par défaut sur la plupart des systèmes modernes, cette faille de type "zero-click" représente un risque substantiel. Par conséquent, toutes les versions non corrigées de Windows 10, Windows 11 et Windows Server 2008, 2012, 2016, 2019 et 2022 avec IPv6 activé sont vulnérables à cette CVE.

La pile TCP/IP de Windows est un composant fondamental du système d'exploitation responsable de la communication réseau via la suite TCP/IP (Transmission Control Protocol/Internet Protocol). Elle gère toutes les interactions réseau, facilitant la communication entre les appareils sur les réseaux locaux et mondiaux.

L'IPv6 a été développé pour répondre aux limites de l'IPv4. Il a introduit diverses améliorations, telles que la modularité et la flexibilité, par le biais d'en-têtes d'extension. Ces en-têtes, placés entre l'en-tête IPv6 et la charge utile, prennent en charge des données optionnelles et des fonctions avancées.

Les principaux en-têtes d'extension IPv6 sont les suivants

• Options de saut (Next Header = 0) 
• En-tête d'acheminement (Next Header = 43) 
• En-tête de fragment (En-tête suivant = 44) 
• En-tête des options de destination (Next Header = 60) 
• En-tête d'authentification (AH) (En-tête suivant = 51) 
• Encapsulation de la charge utile de sécurité (ESP) (Next Header = 50) 

Chaque en-tête d'extension pointe vers le suivant via le champ Next Header, créant ainsi une chaîne séquentielle. Cette modularité introduit une complexité dans le processus de traitement des paquets et des vecteurs d'exploitation potentiels.

Un sous-écoulement d'entier se produit lorsqu'un calcul produit une valeur plus petite que la valeur minimale représentable pour un type de données. Par exemple, la soustraction d'une valeur plus grande d'une valeur plus petite à un entier non signé peut faire en sorte que le résultat devienne une très grande valeur positive.

Un débordement d'entier se produit lorsque la valeur dépasse la limite maximale du type de données et "déborde" vers la valeur minimale représentable (par exemple, 0 dans une plage de 0 à 10). Les deux scénarios sont dus à une mauvaise gestion des conditions limites dans les opérations arithmétiques, ce qui entraîne de graves vulnérabilités dans les systèmes logiciels.

Après avoir reçu un paquet IPv6, Windows analyse d'abord l'en-tête IPv6. Ensuite, la fonction IppReceiveHeaderBatch vérifie la valeur du champ Next Header afin de choisir le gestionnaire approprié pour les en-têtes suivants. Pour chaque en-tête d'extension de la chaîne, IppReceiveHeaderBatch invoque la routine correspondante pour traiter cet en-tête spécifique.

Le correctif de Microsoft visant à remédier à la vulnérabilité CVE-2024-38063 a été examiné en profondeur par le chercheur en sécurité Marcus Hutchins. Son blog technique offre un aperçu détaillé de la cause première de cette vulnérabilité. Sur la base de ses conclusions, notre collègue a approfondi la question afin de mieux comprendre l'exploit.

Sous-débit d'entier dans le traitement des fragments

En fixant le champ Next Header à 44, indiquant un Fragment Header, un paquet est traité par les routines de fragmentation ou de réassemblage d'IPv6. Lorsque le paquet atteint l'analyseur de fragments, Ipv6pReceiveFragment(), il spécifie que : 

• La taille du paquet est nulle. 
• L'en-tête du fragment indique qu'il reste des données à traiter. 

Dans la fonction Ipv6pReceiveFragment(), la taille d'allocation pour fragment_size est calculée en soustrayant 0x30 (longueur de l'en-tête du paquet) de la taille du paquet sans aucune validation. Si la taille du paquet est nulle, cette soustraction est insuffisante, ce qui donne une grande valeur de 16 bits (environ 0xFFD0 ou 65488), entraînant le traitement par l'analyseur d'une mémoire excessive en dehors des limites valides du paquet et conduisant à une corruption de la mémoire. 

De la sous-couverture à la surcouverture et à l'inadéquation de l'allocation

La fonction Ipv6pReassemblyTimeout() est chargée de nettoyer les fragments IPv6 incomplets après un délai spécifié en utilisant l'arithmétique 16 bits pour déterminer la taille des tampons et les opérations de copie. En raison du sous-débit de l'étape précédente, où la longueur du paquet ou la taille du fragment devient 0xFFD0, un débordement se produit lors de l'allocation.  

Le calcul qui en résulte entraîne la remise à zéro du registre, ce qui conduit à l'allocation de seulement 48 octets de mémoire. Cependant, comme la quantité de données copiées (65 488 octets du réassemblage->payload) ne correspond pas à la mémoire allouée, un débordement de mémoire tampon contrôlable se produit dans le pool du noyau. 

Pour tenter de reproduire la vulnérabilité CVE-2024-38963, nos collègues ont créé une série de paquets malformés destinés à exploiter la faille. Le processus qu'ils ont suivi est le suivant :

Insérer un en-tête d'extension des options de destination IPv6 (type 60) après l'en-tête IPv6 de base, puis intégrer une option non valide (par exemple, le type d'option 0x81). 

Cette manipulation force le noyau Windows (tcpip.sys) à définir always_send_icmp = true, ce qui déclenche la génération d'erreurs ICMPv6 via la routine IppSendErrorList().

L'inondation de la cible avec des rafales rapides de ces paquets malformés a augmenté les chances du noyau de regrouper plusieurs paquets dans une seule liste de tampons (Net-Buffer List - NBL). Lorsque deux paquets ou plus sont regroupés, la boucle vulnérable IppSendErrorList() est activée, réinitialisant de manière incorrecte les métadonnées DataLength et Offset dans les fragments suivants (la taille du paquet est désormais nulle). 

Suite à la transmission de paquets malformés, des paquets IPv6 fragmentés comprenant des en-têtes d'extension Fragment sont envoyés. Ces fragments sont traités en utilisant les valeurs DataLength déjà corrompues. 

Le noyau conserve les fragments pendant 60 secondes (géré par Ipv6pReassemblyTimeout) pour permettre le réassemblage des paquets. Pendant ce délai, les valeurs DataLength corrompues déclenchent un débordement d'entier dans Ipv6pReceiveFragment, ce qui entraîne une taille de fragment incorrectement calculée (excessivement grande).

Le noyau alloue une mémoire tampon sur le tas en se basant sur les valeurs sous-jacentes. Deux calculs différents sont effectués au cours du processus de réassemblage : l'un détermine la taille de l'allocation de mémoire (qui, en raison d'un débordement de 16 bits, devient trop petite), et l'autre calcule la longueur de la copie en utilisant la grande valeur débordée.

Cette inadéquation entraîne une écriture hors limites, provoquant un débordement de tampon basé sur le tas qui peut être exploité pour déclencher un déni de service (DoS) ou une exécution de code à distance.