CVE-2024-30078 Windows WIFI 驱动 RCE漏洞分析

文章预览

在6月的“补丁星期二”期间，微软发布了CVE-2024-30078的修复程序。该漏洞的严重性被标记为重要，其影响是远程代码执行 (RCE)。 在阅读了微软的公告后，这个漏洞引起了我们的兴趣。未经身份验证的攻击者似乎可以向相邻系统发送恶意数据包，从而可能启用远程代码执行。即使攻击者必须在目标系统附近，通过无线电传输来发送和接收数据包才能利用此漏洞，但通过无线实现的RCE仍然非常吸引人。 我们的分析是在Windows 11，版本23H2上进行的。 二进制差分分析 该漏洞位于 nwifi.sys Wi-Fi 驱动程序中。我们使用BinDiff对比了该驱动程序的两个版本： 版本10.0.22621.3527 – 存在漏洞： SHA1 788E6FD6D60F3CD5A6FAC5C14883A4A3EF53A355 版本10.0.22621.3733 – 修补后的版本： SHA1 BF5871100143804B77185314BD4DD433AFAC816B 修补程序应用在名为 Dot11Translate80211ToEthernetNdisPacket() 的函数中： 在修 ………………………………