Intel Wi-Fi 驱动漏洞分析

背景：Intel Wi-Fi 芯片广泛应用于个人笔记本电脑产品，如 ThinkPad、Dell 笔记本等。2020 年，ZDI 组织披露了 Intel 无线网卡 Windows 驱动程序中存在 CVE-2020-0557 和 CVE-2020-0558 漏洞。其中，CVE-2020-0557 的 CVSS v3.0 评分为 8.1 分，CVE-2020-0558 的 CVSS v3.0 评分为 8.2 分。通过这两个漏洞，攻击者可以在受害者电脑中远程执行任意代码。

CVE-2020-0558 漏洞分析

1 漏洞原理

当 AP 热点处理 AssocReq 时，会调用 prvhPanClientSaveAssocResp 函数保存 AssocReq 帧中 SSID 的值，在处理 SSID 的过程中，会调用 parse_ie 函数从数据帧中取出 ssid 的 TLV 结构，并调用 memcpy_s 函数将 ssid 的内容复制到目标缓冲区。在调用 memcpy_s 函数的时候，错误地使用 ssid 的 length 作为数据复制长度，当 ssid 的长度大于目标缓冲区的长度时，会导致缓冲区溢出。函数调用图如下所示：

2 问题代码

调用 parse_ie 函数从数据帧中取出 ssid 的 TLV 结构，并调用 memcpy_s 函数将 ssid 的内容复制到目标缓冲区。在调用 memcpy_s 函数的时候，错误地使用 ssid 的 length 作为数据复制长度，当 ssid 的长度大于目标缓冲区的长度时，会导致缓冲区溢出。在下图中，攻击者可以控制*(v8+1)的值，可以拷贝超长的数据复制到目标地址中，从而导致缓冲区溢出。如下图所示：

3 漏洞修复

新版本的代码中使用 osalMemoryCopy 函数替代了原来的 memcpy_s 函数，另外把 SSID 拷贝的最大长度强制设为 32 字节，这样就避免了缓存区溢出的问题。如下图所示：

CVE-2020-0557 漏洞分析

漏洞原理

当 AP 热点处理 AssocReq 时，会调用 prvhPanClientSaveAssocResp 函数处理 AssocReq 帧中的数据，其中在函数中会调用 prvGoVifClientAssocStoreSupportedChannels 函数来处理及保存请求端通道信息，这其中 prvGoVifClientAssocStoreSupportedChannels 函数会循环调用 utilRegulatoryClassToChannelList 来处理 RegulatoryClass（管制要求）信息。由于在循环处理没有考虑目标的偏移是否越界，当 AP 热点接收到 AssocReq 数据帧中 RegulatoryClass 信息单元有多个信道数据时会导致越界写。函数调用图如下图所示：

问题代码

prvGoVifClientAssocStoreSupportedChannels 函数，如下图所示：

漏洞修复

在新版本 增进了对当前 index 的判断，如果 index 大于 255 则退出循环。如下图所示：

漏洞验证