CVE-2024-30078 Windows Wi-Fi RCE 进度

这漏洞还在热度很高的讨论里，但能公开讨论的部分不多，在推上的先是@KunlunLab已经在计划写这个漏洞的细节博客和讲座了，还有有个老哥@f4rmpoet分析了这个补丁，还有github也有一些分析，似乎分析看起来该漏洞存在于处理 VLAN（802.1Q）标签中。

https://github.com/blkph0x/CVE_2024_30078_POC_WIFI

微软在6月发布了 CVE-2024-30078（Wi-Fi 驱动程序 RCE）的补丁，但有关公告的详细信息非常有限。从补丁的快速逆向工程分析了下。该补丁以本机 wifi 驱动程序 （nwifi.sys） 的 Dot11Translate80211ToEthernetNdisPacket() 为目标。

该补丁增加了函数开头的检查流程，该检查在下面的伪代码中进行了描述：

MDL_packetSize = MDL->ByteCount;  if (MDL->ByteCount < (MAC_frame_size + 8))    return NDIS_STATUS_INVALID_PACKET;

上述检查确保接收到的数据包大小大于物理和链路层帧的大小 + 8。该函数似乎目的是一个具有 802.11 帧的数据包，后跟一个 802.2 LLC 标头，其中包含一个带有 etherType 的双八位字节字段。

在 etherType 字段0x8100（VLAN 标记的帧）的特定情况下，该补丁引入了易受攻击版本上不存在的附加检查，在之前对 4 个附加字节的检查的基础上进行了扩展，这些字节似乎可以容纳包含 VLAN 标识符的 802.1Q 标头：if (Feature_1281542463() && MDL_packetSize < *(netBuffer->MAC_frame_size) + 12)    return NDIS_STATUS_INVALID_PACKET;

可以根据 etherType 值设计检测 sig，因为大多数人不会通过 wifi 使用 vlan 标记。

上述信息很明显说明，该漏洞是可以从相邻的无线设备访问，而该无线设备不需要在与目标相同的网络上进行身份验证。

原文始发于微信公众号（军机故阁）：CVE-2024-30078 Windows Wi-Fi RCE 进度