Windows Wi-Fi 驱动程序 RCE 漏洞分析 (CVE-2024-30078)<\/h1>

漏洞概述<\/h2>
CVE-2024-30078 是 Windows Wi-Fi 驱动程序 (nwifi.sys) 中的一个远程代码执行 (RCE) 漏洞，微软在 2024 年 6 月的"补丁星期二"中修复了该漏洞。该漏洞被标记为"重要"级别，允许未经身份验证的攻击者通过向相邻系统发送恶意数据包实现远程代码执行。<\/p>

受影响组件<\/h2>

驱动程序文件<\/strong>: nwifi.sys (Wi-Fi 驱动程序)<\/li>
受影响版本<\/strong>: Windows 11 23H2 及之前版本<\/li>
易受攻击版本<\/strong>: 10.0.22621.3527 (SHA1: 788E6FD6D60F3CD5A6FAC5C14883A4A3EF53A355)<\/li>

修复版本<\/strong>: 10.0.22621.3733 (SHA1: BF5871100143804B77185314BD4DD433AFAC816B)<\/li> <\/ul>
技术细节<\/h2>
漏洞位置<\/h3>
漏洞位于 Dot11Translate80211ToEthernetNdisPacket()<\/code> 函数中，该函数负责将 IEEE 802.11 数据包转换为以太网数据包。<\/p>
漏洞类型<\/h3> 越界写入 (Out-of-Bounds Write)<\/p> 根本原因<\/h3> 在存在漏洞的版本中，当处理 VLAN (IEEE 802.1Q) 标头时，缺少对数据包缓冲区是否包含足够字节的检查。具体来说：<\/p> 函数会检查 LLC 标头（8 字节）是否存在<\/li> 如果 LLC->Type == 0x8100 (表示 VLAN)，应该额外检查 4 字节的 IEEE 802.1Q 标头是否存在<\/li> 在易受攻击版本中，缺少对这 4 字节的检查<\/li> 当 LLC->Type == 0x8100 且 LLC 的 8 字节之后没有数据时，会发生越界读取<\/li> <\/ol> 补丁分析<\/h3> 修复版本中添加了对 IEEE 802.1Q 标头的额外检查：<\/p> cmp [rsp+58h+var_20], 0Ch ; 检查是否有足够的字节(8+4) jb short loc_1400D5F4 ; 如果不足则跳转 <\/code><\/pre> 数据包转换逻辑<\/h3> 以太网报头可以放置在四种不同情况下：<\/p> 情况1<\/strong>: LCC->type != 0x81 && LCC->type < 0x600<\/p> v17 = LCC offset - 0xE<\/li> 以太网报头在 LCC 标头之前构建<\/li> <\/ul> <\/li> 情况2<\/strong>: LCC->type != 0x81 && LCC->type >= 0x600<\/p> v17 = LCC offset - 0xE + 8<\/li> 以太网报头重写 LCC 标头<\/li> <\/ul> <\/li> 情况3<\/strong>: LCC->type == 0x81 && vlanid < 0x600<\/p> v17 = LCC offset - 0xE + 4<\/li> 以太网报头重写一半的 LCC 标头<\/li> <\/ul> <\/li> 情况4<\/strong>: LCC->type == 0x81 && vlanid >= 0x600<\/p> v17 = LCC offset - 0xE + 4 + 8<\/li> 以太网报头将被写入外部内存 (漏洞触发点)<\/li> <\/ul> <\/li> <\/ol> 攻击场景<\/h2> 攻击前提<\/h3> 攻击者必须与目标位于同一 Wi-Fi 网络<\/li> 攻击者不需要在目标系统上进行身份验证<\/li> 攻击者必须在目标系统附近才能发送和接收无线电传输<\/li> <\/ol> 攻击方法<\/h3> 有两种主要攻击方式：<\/p> 设置假AP<\/strong>:<\/p> 配置与目标设备相同的假AP<\/li> 目标设备自动连接到攻击者的AP<\/li> <\/ul> <\/li> 连接到同一AP<\/strong>:<\/p> 需要知道\/破解AP密钥<\/li> 适用于公共网络<\/li> 更难预测目标捕获哪些数据包<\/li> <\/ul> <\/li> <\/ol> 假AP实现<\/h3> 可以使用 Python 和 scapy 库构建假AP，需要实现以下基本功能：<\/p> 定期发送信标数据包（每102.4毫秒）<\/li> 响应探测请求（广播和直接）<\/li> 处理开放系统身份验证请求<\/li> 响应关联请求<\/li> <\/ol> 示例攻击数据包生成代码：<\/p> def<\/span> send_payload_v1<\/span>(self, destination, with_vlan): <\/span><\/span> radiotap =<\/span> RadioTap() <\/span><\/span> dot11 =<\/span> Dot11(type=<\/span>2<\/span>, subtype=<\/span>0<\/span>, addr1=<\/span>destination, <\/span><\/span> addr2=<\/span>self.<\/span>ap.<\/span>mac, addr3=<\/span>self.<\/span>ap.<\/span>mac, <\/span><\/span> SC=<\/span>self.<\/span>ap.<\/span>next_sc(), FCfield=<\/span>'from-DS'<\/span>) <\/span><\/span> llc =<\/span> LLC(dsap=<\/span>0xaa<\/span>, ssap=<\/span>0xaa<\/span>, ctrl=<\/span>0x03<\/span>) \/<\/span> SNAP(OUI=<\/span>0x000000<\/span>, code=<\/span>0x8100<\/span>) <\/span><\/span> packet =<\/span> radiotap \/<\/span> dot11 \/<\/span> llc # 可添加额外字节<\/span> <\/span><\/span> sendp(packet, iface=<\/span>self.<\/span>ap.<\/span>interface, verbose=<\/span>False<\/span>) <\/span><\/span><\/code><\/pre>漏洞利用分析<\/h2> 利用限制<\/h3> 内存布局要求<\/strong>:<\/p> 需要数据包缓冲区后面有适当的字节才能通过 tpid 和 vlanid 检查<\/li> 无法控制数据包内的这些字节<\/li> <\/ul> <\/li> 信息泄露缺失<\/strong>:<\/p> 缺乏必要的信息泄露漏洞辅助<\/li> 难以确定内存布局<\/li> <\/ul> <\/li> 被覆盖内存区域<\/strong>:<\/p> 被覆盖的内存区域不包含有用数据（如指针）<\/li> 内存区域标签未知，大小为 0x7800<\/li> 在适配器连接时分配，断开时释放<\/li> <\/ul> <\/li> <\/ol> 实际影响<\/h3> 尽管被标记为 RCE 漏洞，但实际利用难度很高：<\/p> 只能覆盖紧跟数据包后面的有限字节<\/li> 覆盖区域不包含关键数据<\/li> 需要精确的内存布局<\/li> 缺乏控制执行流程的手段<\/li> <\/ol> 防御建议<\/h2> 及时安装微软提供的安全更新<\/li> 对于无法立即更新的系统，考虑以下缓解措施：禁用不必要的 Wi-Fi 适配器<\/li> 在可信网络环境中使用有线连接<\/li> 启用网络隔离功能<\/li> <\/ul> <\/li> <\/ol> 参考资源<\/h2> 微软安全更新指南<\/a><\/li> scapy-fakeap 项目<\/a><\/li> NDIS 筛选器驱动程序文档<\/a><\/li> <\/ol> 结论<\/h2> CVE-2024-30078 虽然在理论上是远程代码执行漏洞，但由于多种限制因素，实际利用难度很高。微软正确地修复了该漏洞，但攻击者要成功利用此漏洞需要非常特定的条件和一定的运气成分。尽管如此，仍建议用户及时应用安全更新，因为未来可能会发现更有效的利用方法。<\/p>

Windows Wi-Fi 驱动程序 RCE 漏洞分析 (CVE-2024-30078)<\/h1>

技术细节<\/h2>

漏洞位置<\/h3> 漏洞位于 Dot11Translate80211ToEthernetNdisPacket()<\/code> 函数中，该函数负责将 IEEE 802.11 数据包转换为以太网数据包。<\/p>

攻击场景<\/h2>

漏洞利用分析<\/h2>

漏洞位置<\/h3>
漏洞位于 `Dot11Translate80211ToEthernetNdisPacket()<\/code> 函数中，该函数负责将 IEEE 802.11 数据包转换为以太网数据包。<\/p>`