Análisis detallado de CVE-2024-38063: una amenaza crítica en la pila TCP/IP de Windows

CVE-2024-38063 es una vulnerabilidad crítica de la pila TCP/IP de Windows con una puntuación CVSS de 9,8, que afecta al procesamiento de paquetes IPv6. Los atacantes remotos pueden aprovechar esta vulnerabilidad mediante un desbordamiento por debajo del rango de un entero al gestionar los encabezados de extensión IPv6 para ejecutar código malicioso o provocar un ataque de denegación de servicio (DoS).

Dado que IPv6 está habilitado de forma predeterminada en la mayoría de los sistemas modernos, esta vulnerabilidad de «cero clics» supone un riesgo considerable. Por lo tanto, todas las versiones sin parches de Windows 10, Windows 11 y Windows Server , 2012, 2016, 2019 y 2022 con IPv6 habilitado son vulnerables a este CVE.

La pila TCP/IP de Windows es un componente fundamental del sistema operativo encargado de la comunicación en red a través del conjunto de protocolos TCP/IP (Protocolo de control de transmisión/Protocolo de Internet). Gestiona todas las interacciones de red, facilitando la comunicación entre dispositivos en redes locales y globales.

IPv6 se desarrolló para superar las limitaciones de IPv4. Introdujo diversas mejoras, como la modularidad y la flexibilidad mediante encabezados de extensión. Estos encabezados, situados entre el encabezado IPv6 y la carga útil, admiten datos opcionales y funciones avanzadas.

Entre los encabezados de extensión clave de IPv6 se incluyen:

• Opciones paso a paso (siguiente encabezado = 0) 
• Encabezado de enrutamiento (siguiente encabezado = 43) 
• Encabezado de fragmento (Siguiente encabezado = 44) 
• Encabezado de opciones de destino (Siguiente encabezado = 60) 
• Encabezado de autenticación (AH) (Siguiente encabezado = 51) 
• Carga útil de seguridad encapsulada (ESP) (Siguiente encabezado = 50) 

Cada encabezado de extensión apunta al siguiente a través del campo «Next Header», creando así una cadena secuencial. Esta modularidad introduce complejidad en el proceso de gestión de paquetes y abre la puerta a posibles vectores de explotación.

Se produce un desbordamiento por debajo del rango de un entero cuando un cálculo genera un valor inferior al valor mínimo representable para un tipo de datos. Por ejemplo, al restar un valor mayor de uno menor en un entero sin signo, el resultado puede convertirse en un valor positivo muy grande.

Se produce un desbordamiento de enteros cuando el valor supera el límite máximo del tipo de datos y «se desborda» hasta el valor mínimo representable (por ejemplo, 0 en un intervalo de 0 a 10). Ambos casos se deben a un manejo inadecuado de las condiciones límite en las operaciones aritméticas, lo que da lugar a graves vulnerabilidades en los sistemas de software.

Tras recibir un paquete IPv6, Windows analiza primero la cabecera IPv6. A continuación, la función `IppReceiveHeaderBatch` comprueba el valor del campo «Next Header» para seleccionar el controlador adecuado para las cabeceras siguientes. Para cada cabecera de extensión de la cadena, `IppReceiveHeaderBatch` invoca la rutina correspondiente para procesar esa cabecera específica.

El parche de Microsoft para solucionar la vulnerabilidad CVE-2024-38063 fue analizado a fondo por el investigador de seguridad Marcus Hutchins. En su blog técnico ofrece información detallada sobre la causa principal de esta vulnerabilidad. Partiendo de sus hallazgos, nuestro compañero ha profundizado en el tema para comprender a fondo el exploit.

Desbordamiento por debajo del rango en el procesamiento de fragmentos

Al establecer el campo «Next Header» en 44, lo que indica un encabezado de fragmento, el paquete pasa a ser gestionado por las rutinas de fragmentación o reensamblaje de IPv6. Cuando el paquete llega al analizador de fragmentos, `Ipv6pReceiveFragment()`, este especifica que: 

• El tamaño del paquete es cero. 
• El encabezado del fragmento indica que aún quedan datos por procesar. 

En la función `Ipv6pReceiveFragment()`, el tamaño de asignación para `fragment_size` se calcula restando 0x30 (la longitud de la cabecera del paquete) del tamaño del paquete sin realizar ninguna validación. Si el tamaño del paquete es cero, esta resta da lugar a un desbordamiento por debajo del rango, lo que da como resultado un valor de 16 bits muy grande (alrededor de 0xFFD0 o 65488), lo que hace que el analizador procese una cantidad excesiva de memoria fuera de los límites válidos del paquete y provoque una corrupción de memoria. 

Del déficit al exceso y al desajuste en la asignación

La función `Ipv6pReassemblyTimeout()` se encarga de eliminar los fragmentos IPv6 incompletos tras un tiempo determinado, utilizando aritmética de 16 bits para determinar los tamaños de los búferes y las operaciones de copia. Debido al desbordamiento por debajo del rango mínimo en el paso anterior, en el que `packet_length` o `fragment_size` pasan a ser 0xFFD0, se produce un desbordamiento por encima del rango máximo durante la asignación.  

El cálculo resultante provoca que el registro se reinicie a cero, lo que da lugar a la asignación de solo 48 bytes de memoria. Sin embargo, dado que la cantidad de datos copiados (65 488 bytes de «reassembly->payload») no se corresponde con la memoria asignada, se produce un desbordamiento de búfer controlable en el pool del núcleo. 

Con el fin de reproducir la vulnerabilidad CVE-2024-38963, nuestros compañeros crearon una serie de paquetes malformados diseñados para aprovechar la falla. El proceso que siguieron fue el siguiente:

Inserta un encabezado de extensión de opciones de destino IPv6 (tipo 60) a continuación del encabezado IPv6 básico y, a continuación, incluye una opción no válida (por ejemplo, la opción de tipo 0x81). 

Esta manipulación obliga al núcleo de Windows (tcpip.sys) a establecer always_send_icmp = true, lo que provoca la generación de errores ICMPv6 a través de la rutina IppSendErrorList().

Al inundar el objetivo con ráfagas rápidas de estos paquetes malformados, aumentaban las posibilidades de que el núcleo agrupara varios paquetes en una sola lista de búfer de red (NBL). Cuando se agrupan dos o más paquetes, se activa el bucle vulnerable IppSendErrorList(), lo que provoca un restablecimiento incorrecto de los metadatos DataLength y Offset en los fragmentos posteriores (el tamaño del paquete pasa a ser cero). 

Tras la transmisión de paquetes malformados, se envían paquetes IPv6 fragmentados que incluyen encabezados de extensión de fragmento. Estos fragmentos se procesan utilizando los valores de DataLength ya dañados. 

El núcleo retiene los fragmentos durante 60 segundos (controlados por `Ipv6pReassemblyTimeout`) para permitir el reensamblaje de los paquetes. Durante este tiempo de espera, los valores corruptos de `DataLength` provocan un desbordamiento por debajo del rango en `Ipv6pReceiveFragment`, lo que da lugar a un tamaño de fragmento calculado incorrectamente (excesivamente grande).

El núcleo asigna un búfer de pila basándose en los valores que han sufrido un desbordamiento por debajo del rango. Durante el proceso de reensamblaje se realizan dos cálculos distintos: uno determina el tamaño de la asignación de memoria (que, debido a un desbordamiento de 16 bits, resulta demasiado pequeño), y el otro calcula la longitud de la copia utilizando el valor grande que ha sufrido el desbordamiento por debajo del rango.

Esta discrepancia provoca una escritura fuera de límites, lo que da lugar a un desbordamiento de búfer en el montón que puede aprovecharse para provocar una denegación de servicio (DoS) o la ejecución remota de código.