写点什么

Intel Wi-Fi 驱动漏洞分析

用户头像
Machine Gun
关注
发布于: 1 小时前

背景:Intel Wi-Fi 芯片广泛应用于个人笔记本电脑产品,如 ThinkPad、Dell 笔记本等。2020 年,ZDI 组织披露了 Intel 无线网卡 Windows 驱动程序中存在 CVE-2020-0557 和 CVE-2020-0558 漏洞。其中,CVE-2020-0557 的 CVSS v3.0 评分为 8.1 分,CVE-2020-0558 的 CVSS v3.0 评分为 8.2 分。通过这两个漏洞,攻击者可以在受害者电脑中远程执行任意代码。


CVE-2020-0558 漏洞分析

1 漏洞原理

当 AP 热点处理 AssocReq 时,会调用 prvhPanClientSaveAssocResp 函数保存 AssocReq 帧中 SSID 的值,在处理 SSID 的过程中,会调用 parse_ie 函数从数据帧中取出 ssid 的 TLV 结构,并调用 memcpy_s 函数将 ssid 的内容复制到目标缓冲区。在调用 memcpy_s 函数的时候,错误地使用 ssid 的 length 作为数据复制长度,当 ssid 的长度大于目标缓冲区的长度时,会导致缓冲区溢出。函数调用图如下所示:


2 问题代码

调用 parse_ie 函数从数据帧中取出 ssid 的 TLV 结构,并调用 memcpy_s 函数将 ssid 的内容复制到目标缓冲区。在调用 memcpy_s 函数的时候,错误地使用 ssid 的 length 作为数据复制长度,当 ssid 的长度大于目标缓冲区的长度时,会导致缓冲区溢出。在下图中,攻击者可以控制*(v8+1)的值,可以拷贝超长的数据复制到目标地址中,从而导致缓冲区溢出。如下图所示:


3 漏洞修复

新版本的代码中使用 osalMemoryCopy 函数替代了原来的 memcpy_s 函数,另外把 SSID 拷贝的最大长度强制设为 32 字节,这样就避免了缓存区溢出的问题。如下图所示:


CVE-2020-0557 漏洞分析

漏洞原理

当 AP 热点处理 AssocReq 时,会调用 prvhPanClientSaveAssocResp 函数处理 AssocReq 帧中的数据,其中在函数中会调用 prvGoVifClientAssocStoreSupportedChannels 函数来处理及保存请求端通道信息,这其中 prvGoVifClientAssocStoreSupportedChannels 函数会循环调用 utilRegulatoryClassToChannelList 来处理 RegulatoryClass(管制要求)信息。由于在循环处理没有考虑目标的偏移是否越界,当 AP 热点接收到 AssocReq 数据帧中 RegulatoryClass 信息单元有多个信道数据时会导致越界写。函数调用图如下图所示:


问题代码

prvGoVifClientAssocStoreSupportedChannels 函数,如下图所示:



漏洞修复

在新版本 增进了对当前 index 的判断,如果 index 大于 255 则退出循环。如下图所示:


漏洞验证

用户头像

Machine Gun

关注

还未添加个人签名 2021.03.28 加入

Every Time I Die

评论

发布
暂无评论
Intel Wi-Fi驱动漏洞分析