Intel Wi-Fi驱动漏洞分析
发布时间 2021-04-27Intel Wi-Fi芯片广泛应用于个人笔记本电脑产品,如ThinkPad、Dell笔记本等。2020年,ZDI组织披露了Intel无线网卡Windows驱动程序中存在CVE-2020-0557 和 CVE-2020-0558漏洞。其中,CVE-2020-0557的CVSS v3.0评分为 8.1 分,CVE-2020-0558的CVSS v3.0评分为 8.2 分。通过这两个漏洞,攻击者可以在受害者电脑中远程执行任意代码。
漏洞编号 | 影响的无线网卡 | 影响驱动 |
CVE-2020-0557 | AC 7265 Rev D、AC 3168、AC 8265和AC8260 | Intel PROSet/Wireless WiFi Software 21.70之前版本 |
CVE-2020-0558 | AC8265 | Intel PROSet/Wireless WiFi Software 21.70之前版本 |
CVE-2020-0558漏洞分析
1、漏洞原理
当AP热点处理AssocReq时,会调用prvhPanClientSaveAssocResp函数保存AssocReq帧中SSID的值,在处理SSID的过程中,会调用parse_ie函数从数据帧中取出ssid的TLV结构,并调用memcpy_s函数将ssid的内容复制到目标缓冲区。在调用memcpy_s函数的时候,错误地使用ssid的length作为数据复制长度,当ssid的长度大于目标缓冲区的长度时,会导致缓冲区溢出。函数调用图如下所示:
2、问题代码
调用parse_ie函数从数据帧中取出ssid的TLV结构,并调用memcpy_s函数将ssid的内容复制到目标缓冲区。在调用memcpy_s函数的时候,错误地使用ssid的length作为数据复制长度,当ssid的长度大于目标缓冲区的长度时,会导致缓冲区溢出。在下图中,攻击者可以控制*(v8+1)的值,可以拷贝超长的数据复制到目标地址中,从而导致缓冲区溢出。如下图所示:
3、漏洞修复
新版本的代码中使用osalMemoryCopy函数替代了原来的memcpy_s函数,另外把SSID拷贝的最大长度强制设为32字节,这样就避免了缓存区溢出的问题。如下图所示:
CVE-2020-0557漏洞分析
1、漏洞原理
当AP热点处理AssocReq时,会调用prvhPanClientSaveAssocResp函数处理AssocReq帧中的数据,其中在函数中会调用prvGoVifClientAssocStoreSupportedChannels函数来处理及保存请求端通道信息,这其中prvGoVifClientAssocStoreSupportedChannels函数会循环调用utilRegulatoryClassToChannelList来处理RegulatoryClass(管制要求)信息。由于在循环处理没有考虑目标的偏移是否越界,当AP热点接收到AssocReq数据帧中RegulatoryClass信息单元有多个信道数据时会导致越界写。函数调用图如下图所示:
2、问题代码
prvGoVifClientAssocStoreSupportedChannels函数,如下图所示:
3、漏洞修复
在新版本 增进了对当前index的判断,如果index大于255则退出循环。如下图所示:
4、漏洞验证
参考链接:
【1】https://www.thezdi.com/blog/2020/5/4/analyzing-a-trio-of-remote-code-execution-bugs-in-intel-wireless-adapters
启明星辰积极防御实验室(ADLab)
ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截止目前,ADLab已通过CVE累计发布安全漏洞近1100个,通过 CNVD/CNNVD累计发布安全漏洞1000余个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖操作系统与应用系统安全研究、智能终端安全研究、物联网智能设备安全研究、Web安全研究、工控系统安全研究、云安全研究。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。