微软最新WiFi远程代码执行漏洞(CVE-2024-30078)探究

avatar
作者
筋斗云
阅读量:0

1. 背景介绍

微软在六月的安全更新中,修复了一个WiFi驱动的漏洞。漏洞描述的攻击场景吸引了很多人的注意:在近源的场景下,攻击者通过发送WiFi数据包来发动攻击。

在这里插入图片描述

这篇漏洞公告一石激起千层浪:

‒ 有人声称以5000美元出售漏洞的PoC;

在这里插入图片描述

‒ 国内技术论坛上对漏洞的讨论和猜测,如12

在这里插入图片描述

‒ 以及github上流传的各种假PoC。
首推https://github.com/blkph0x/CVE_2024_30078_POC_WIFI ,被国内营销号各种转发。它一开始声称漏洞原因是SSID溢出,直到广大网友在issues中质疑无法复现,才承认自己只是在尝试复现漏洞,并删光了之前所谓对漏洞原理的描述。

在这里插入图片描述

从直觉上讲,这个漏洞危害不会很大。漏洞作者是赛博昆仑@XiaoWei___,如果特别好用在这个时间点可能就不会提交了。至于出售PoC可信度也不高,5000美元也过于便宜了。

在这里插入图片描述

漏洞作者的推特上有一些公开的信息,表明这是一个越界写漏洞。漏洞的发现受到了古河2023年blackhat议题的启发。这个议题是关于windows对各种底层网络协议处理上的漏洞。

在这里插入图片描述

在这里插入图片描述

考虑要过去出现过类似场景下的漏洞,例如p0团队从苹果的AWDL协议(基于WiFi)中发现的漏洞,可以做到0click通过WiFi黑掉iphone。因此我们希望弄清楚,漏洞的影响具体如何,是否有大家猜测的那样危害巨大。

2. 静态分析

定位补丁

首先需要定位到patch的位置。在打上win10的6月更新补丁后,我们发现win10的C:\Windows\System32\Drivers\目录下有以下文件的更新:

在这里插入图片描述

从文件名上看,nwifi.sys和wdiwifi.sys比较可疑

在这里插入图片描述

在这里插入图片描述

经过bindiff的处理,wdiwifi.sys新旧版本没有明显的差异,而nwifi.sys有个疑似打过补丁的函数,Dot11Translate80211ToEthernetNdisPacket

在这里插入图片描述

后续漏洞作者也在回复中确认,漏洞位于nwifi.sys
在这里插入图片描述

初步分析

从函数的名称Dot11Translate80211ToEthernetNdisPacket可以推测,这个函数用于处理802.11数据包。802.11是一种无线局域网的标准,而WiFi是802.11标准的一种产品实现。用IDA反编译函数,发现补丁是增加了一处对数值的比较,如果不满足条件则返回NDIS_STATUS_INVALID_PACKET(0xc001000),即数据包非法。
在这里插入图片描述

调用层次图表明,函数会在接收到802.11数据包时被调用。上层函数的名称中,STA即Station,AP即Access Point。Station是无线网络中的客户端设备,而Access Point则是提供无线接入服务的网络基础设施设备。用户通过Station设备连接到Access Point,进而访问网络资源。
在这里插入图片描述

我们预期受害者应该作为Station,进而关注上层的ExtSTAReceivePacket函数。在其中可以看到对多种类型802.11数据包的处理,包括DataPacket、ProbeRequest和Beacon

在这里插入图片描述

Beacon和ProbeRequest都属于802.11的管理帧
‒ Beacon是WiFi服务端AP定期广播的数据包,其主要目的是宣告该AP的存在以及网络的基本信息。WiFi客户端会监听这些Beacon帧,来发现可用的网络;
‒ ProbeRequest是由WiFi客户端Station发起的,用于主动搜索特定的无线网络。如果存在匹配的网络,则该AP将回应一个Probe Response帧,包含网络的具体配置信息。

在802.11的header中,管理帧的Type值为00,控制帧的Type值为01,数据帧的Type值为10。观察函数ExtSTAReceiveDataPacket所在分支的进入条件 v19 & 0xC == 0x8,即 v19 & 0b1100 == 0b1000。所以想要进入Patch的代码,需要数据包为数据帧,而非管理帧。因此一些假PoC所谓Beacon中SSID溢出,明显是错误的。
在这里插入图片描述

接下来的部分难以通过静态分析看出来,需要进行动态调试。

3.动态调试

环境搭建

准备一个usb无线网卡,以及两台windows虚拟机
在这里插入图片描述

在vmware中设置debugee连接usb网卡

在这里插入图片描述

为两台虚拟机设置同一个host-only网络,以进行双机内核调试,具体可参考教程

主要问题

根据patch的代码,现在有两个需要解决的问题:

  1. 满足v14==0x81,才能进入补丁的逻辑,那么v14是数据包中的哪个字段,0x81又是什么含义;
  2. patch处比较的两个值又是什么,注意这是一个纯数值上的比较,v27 - *(a+12) >= 12。

在这里插入图片描述

问题1. 0x81是什么

对于加密的WiFi,其数据帧中的数据是被加密的。

在这里插入图片描述

不过在进入ExtSTAReceiveDataPacket函数时,Data的内容已经被解密。动态调试发现,v8指向解密后的数据包,v7为802.11数据头的长度,因此&v8[v7]即跳过了header,指向解密后Data数据。

在这里插入图片描述

将数据从内存中导出,放到wireshark中进行分析。可以看出v14就是取出Logical-Link Control层中,Type的值。

在这里插入图片描述

LLC是数据链路层的网络协议,通常占用8个字节

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

实际调试时,v14的值不是0x8就是0xdd86
‒ 0x8 -> 0x0800 表示ipv4

在这里插入图片描述

‒ 0xdd86 -> 0x86dd 表示 ipv6

在这里插入图片描述

‒ 而关键的判断条件,0x81 -> 0x8100 则表示 VLAN-tagged frame

在这里插入图片描述

如果类型标识是VLAN的话,LLC的8字节后还要带上一个4字节的802.1Q Header,用来标识VLAN ID

在这里插入图片描述

而v14 == 0x81后的代码,就是在处理这4 个字节 (&v8[v7+8], &v8[v7+10])

在这里插入图片描述

其实这里已经可以看出问题了,先卖个关子,不知道读者能不能反应过来。提示:不要被“越界写漏洞”这个概念先入为主。

问题2. 比较双方的值是什么

回顾patch的内容,大概逻辑是判断x < y+12

在这里插入图片描述

其实在patch之前,还有一处比较,比较逻辑是 x < y+8

在这里插入图片描述

经过测试,我们发现y是802.11 header的长度,而x是整个数据包的大小 (包括802.11 header)。现在答案已经呼之欲出了:
正常来说LLC的大小为8字节,但是如果LLC中Type为VLAN,后面还要跟上4字节的内容。然而如果整个数据包只有802.11 header和LLC,且LLC长度为8、Type为VLAN,则在未打补丁的版本上会越界读4个字节

这么看来两处比较就非常合理:
‒ total_len >= 80211_header_len+8
接下来要处理8字节的LLC数据,所以这8个字节必须存在
‒ (patch) total_len >= 80211_header_len+12
接下来要处理12字节的LLC数据,所以这12个字节必须存在

越界写

漏洞的直接原因清楚后,既然漏洞作者表明这是一个越界写,则在后续的代码中自然有越界写的位置。这个Patch函数的名字是Dot11Translate80211ToEthernetNdisPacket,说明它是一个转换函数。但问题是这个转换的过程没有发生在新的buffer,而是直接修改原buffer。注意变量v15,最终指向了802.11header的倒数第6个字节。在line113/114/115发生了对原buffer的修改。
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

直接说结论,最后会在原buffer中写12字节的数据,分别是802.11header中,帧接收端mac地址以及帧发送端的mac地址。为了节约空间,正常就是覆盖802.11header结尾的6个字节,以及LLC的6个字节。至于为什么保留了2个字节,因为要保留EtherType的信息。

在这里插入图片描述

在这里插入图片描述

但是如果LLC类型为VLAN,程序就会默认LLC有12字节,给v15加上4。于是便覆盖LLC开始的6+4=10个字节。但是在上述恶意的数据包中,LLC长度只有8,这样就会在堆上越界写2个字节,且这两个字节为发送端mac地址的后两位,是可控的。

在这里插入图片描述

例如图中数据包原长度为0x22,经过函数处理后,越界写了2个字节。22:0b即发送者mac地址的后两位(c2:38:97:bd:22:0b)。

在这里插入图片描述

TODO

要在实际环境下复现该漏洞,需要能通过wlan适配器发送任意的数据包。可能是受到无线网卡驱动的限制,尝试用scapy没有发送成功。
我是采用windbg手动修改数据包内容的方式,简单复现漏洞造成的结果。具体是在ExtSTAReceivePacket修改数据包的长度和内容标识,不过因为不够底层,没法修改堆上缓冲区分配的大小。
后续会想方法补充动态复现的过程。

4. 总体回顾

漏洞效果

攻击者发送恶意的WiFi数据包;受害者在处理这个数据包时,会触发一个堆上的越界写,写入的两个字节攻击者可控。

利用场景
  1. 攻击者作为AP,诱导受害者连上该WiFi,之后发动攻击
    注意:不存在用户仅仅是开启WiFi就被攻击的情况
  2. 攻击者和受害者连上同一WiFi,之后发动攻击
局限性
  1. 内存洞利用在场景2下可能较为困难:
    ‒ 一些路由器会配置相关策略,比如mac地址黑名单,直接丢弃修改源mac后的数据包。如果不能自由修改mac地址,溢出2个字节的可操作性会大大降低;
    ‒ 连上WiFi的设备普遍会有大量的数据包交互,可能会影响漏洞利用时对堆的控制;场景1下实战RCE的可能更大,因为作为AP可以严格控制发送给受害者的数据包,一定程度上降低对内存布局的干扰。

  2. 受害者必须要主动连上WiFi,不存在什么都不操作,只要开启wifi功能就会中招的情况:
    WiFi客户端会自动忽略来自不同WiFi的数据帧,即使没有改WiFi没有加密。这是由网卡厂商开发的驱动决定的。如果能自动监听数据帧等于有窃听的功能,有法律上的风险。
    除非网卡进入“监视模式”,才会接收和处理周围所有 WiFi 网络中的数据帧,而不是直接过滤掉。但是Windows上网卡驱动一般不支持开启监视模式,即使支持也需要用户主动去切换(netsh wlan show wirelesscapabilities 查看)。
    所以正常用户必须要连上WiFi才可能中招;

在这里插入图片描述

3 采用较新的WDI驱动模型编写的网卡驱动,不会受到漏洞影响:
无线网卡的驱动都会与ndis.sys交互。ndis.sys是Windows操作系统中的网络驱动接口规范(Network Driver Interface Specification, NDIS)的核心驱动程序。
如果驱动使用的是传统NDIS模型,则ndis.sys最终会调用nwifi.sys驱动模块的功能;而如果驱动是采用WDI驱动模型,则ndis.sys最终会调用wdiwifi.sys驱动模块的功能。nwifi.sys和wdiwifi.sys都有对802.11相关协议的解析,后者只支持win10及以上的版本。

例如我测试的tx-ac88网卡的驱动,采用了WDI驱动模型,不会受到漏洞的影响

在这里插入图片描述

而UGREEN-AX300为了兼容win7使用了传统NDIS模型,才能触发到漏洞位置

在这里插入图片描述


所以这个漏洞确实有一定的危害性,但是没有大家猜测的那么危险。直观的缓解措施就是不要随便连WiFi。同时这个漏洞也能给我们带来很多启发,近源场景下的漏洞值得被关注。最后,由于笔者水平有限,文章难免有错误或疏漏的地方,欢迎各位大佬交流指正

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

网络安全学习资源分享:

给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

【点击免费领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】

在这里插入图片描述

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

👋全套《黑客&网络安全入门&进阶学习资源包》👇👇👇

这份完整版的学习资料已经上传CSDN,也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费

img

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!