Intel Wi-Fi 驱动漏洞分析
背景:Intel Wi-Fi 芯片广泛应用于个人笔记本电脑产品,如 ThinkPad、Dell 笔记本等。2020 年,ZDI 组织披露了 Intel 无线网卡 Windows 驱动程序中存在 CVE-2020-0557 和 CVE-2020-0558 漏洞。其中,CVE-2020-0557 的 CVSS v3.0 评分为 8.1 分,CVE-2020-0558 的 CVSS v3.0 评分为 8.2 分。通过这两个漏洞,攻击者可以在受害者电脑中远程执行任意代码。
CVE-2020-0558 漏洞分析
1 漏洞原理
当 AP 热点处理 AssocReq 时,会调用 prvhPanClientSaveAssocResp 函数保存 AssocReq 帧中 SSID 的值,在处理 SSID 的过程中,会调用 parse_ie 函数从数据帧中取出 ssid 的 TLV 结构,并调用 memcpy_s 函数将 ssid 的内容复制到目标缓冲区。在调用 memcpy_s 函数的时候,错误地使用 ssid 的 length 作为数据复制长度,当 ssid 的长度大于目标缓冲区的长度时,会导致缓冲区溢出。函数调用图如下所示:
2 问题代码
调用 parse_ie 函数从数据帧中取出 ssid 的 TLV 结构,并调用 memcpy_s 函数将 ssid 的内容复制到目标缓冲区。在调用 memcpy_s 函数的时候,错误地使用 ssid 的 length 作为数据复制长度,当 ssid 的长度大于目标缓冲区的长度时,会导致缓冲区溢出。在下图中,攻击者可以控制*(v8+1)的值,可以拷贝超长的数据复制到目标地址中,从而导致缓冲区溢出。如下图所示:
3 漏洞修复
新版本的代码中使用 osalMemoryCopy 函数替代了原来的 memcpy_s 函数,另外把 SSID 拷贝的最大长度强制设为 32 字节,这样就避免了缓存区溢出的问题。如下图所示:
CVE-2020-0557 漏洞分析
漏洞原理
当 AP 热点处理 AssocReq 时,会调用 prvhPanClientSaveAssocResp 函数处理 AssocReq 帧中的数据,其中在函数中会调用 prvGoVifClientAssocStoreSupportedChannels 函数来处理及保存请求端通道信息,这其中 prvGoVifClientAssocStoreSupportedChannels 函数会循环调用 utilRegulatoryClassToChannelList 来处理 RegulatoryClass(管制要求)信息。由于在循环处理没有考虑目标的偏移是否越界,当 AP 热点接收到 AssocReq 数据帧中 RegulatoryClass 信息单元有多个信道数据时会导致越界写。函数调用图如下图所示:
问题代码
prvGoVifClientAssocStoreSupportedChannels 函数,如下图所示:
漏洞修复
在新版本 增进了对当前 index 的判断,如果 index 大于 255 则退出循环。如下图所示:
漏洞验证
评论