Une grave faille de sécurité dans le pilote Wi-Fi met en danger des milliards d'appareils

Par conséquent, cette vulnérabilité de sécurité peut permettre aux attaquants d'exécuter du code arbitraire à distance (RCE) sur les systèmes vulnérables. Cette vulnérabilité, codée CVE-2024-30078, est susceptible de causer de graves dommages, notamment le vol de données sensibles, la destruction du système et même la prise de contrôle de l'ensemble du réseau.

Cette grave vulnérabilité de sécurité affecte directement les pilotes Wi-Fi sur de nombreuses versions des systèmes d'exploitation Microsoft Windows, de Windows 7 à Windows 11, menaçant plus de 1,6 milliard d'appareils utilisés dans le monde.

En étant simplement à portée du Wi-Fi, un attaquant peut envoyer des paquets malveillants, exploiter des vulnérabilités pour exécuter du code arbitraire sur l'appareil de la victime, volant ainsi des données sensibles, installant des logiciels malveillants ou même contrôlant le système à distance.

Comment les cybercriminels exploitent-ils les vulnérabilités de sécurité ?

La vulnérabilité CVE-2024-30078 permet aux attaquants d'exploiter la fonction Dot11Translate80211ToEthernetNdisPacket() du pilote Wi-Fi natif (nwifi.sys) pour envoyer des paquets réseau spécialement conçus. Lorsque ces paquets sont reçus par un système Windows, la fonction vulnérable exécute le code malveillant fourni par l'attaquant, lui permettant ainsi de prendre le contrôle total du système.

L'exploitation de la vulnérabilité CVE-2024-30078 a été signalée aux États-Unis, en Chine et dans plusieurs pays européens. Les attaques visant des établissements de santé, des banques, des usines, des agences gouvernementales et des entreprises technologiques ont causé de graves dommages, notamment des fuites de données de patients, des pertes financières, des interruptions de production et même la perte de contrôle de systèmes critiques.

Cette vulnérabilité est classée comme facilement exploitable, ce qui signifie que même des attaquants peu expérimentés peuvent l'exploiter pour pénétrer le système. Avec quelques lignes de commande ou un outil automatisé, les attaquants peuvent envoyer des paquets réseau pré-conçus aux appareils à portée Wi-Fi pour prendre le contrôle de l'appareil ciblé.

La vulnérabilité, CVE-2024-30078, est liée à un bug dans la couche de contrôle de liaison logique (LLC) de la pile réseau, et plus précisément dans la gestion de la longueur des paquets sur les réseaux virtuels (VLAN). En raison de cette différence dans la détermination de la taille des paquets, un attaquant peut exploiter une lecture hors limites et un écrasement de deux octets pour exécuter du code arbitraire et prendre ainsi le contrôle du système.

Un attaquant peut exploiter la vulnérabilité de la fonction Dot11Translate80211ToEthernetNdisPacket() en envoyant des paquets réseau spécialement conçus pour tromper le gestionnaire de données. Il peut ainsi écraser des adresses mémoire contenant des informations importantes, comme modifier l'adresse d'une maison sur une carte. L'attaquant peut ensuite insérer du code malveillant à ce nouvel emplacement, forçant le système à s'exécuter comme il le souhaite.

Quelles sont les conséquences de la vulnérabilité CVE-2024-30078 ?

Si elle est exploitée avec succès, cette vulnérabilité pourrait avoir de graves conséquences, affectant aussi bien les utilisateurs individuels que les organisations. L'une des conséquences les plus alarmantes est la possibilité d'installer des logiciels malveillants. Les attaquants pourraient déployer à distance divers logiciels malveillants, notamment des rançongiciels et des logiciels espions, sur les systèmes compromis.

Plus dangereux encore, une fois qu'un attaquant a réussi à compromettre un appareil, il peut facilement propager l'attaque à d'autres appareils du même réseau. Cela signifie qu'il peut accéder à d'autres appareils connectés et accéder à des données sensibles et à des infrastructures critiques.

Autre conséquence inquiétante : de nombreux appareils connectés à Internet (ordinateurs, smartphones, objets connectés) sont infectés par des logiciels malveillants et contrôlés à distance par un attaquant. Ces appareils infectés peuvent ensuite être utilisés pour lancer des attaques par déni de service distribué (DDoS) à grande échelle, paralysant des sites web, des services en ligne et même des infrastructures critiques. Cela entraîne non seulement des pertes financières, mais aussi des perturbations majeures de la vie quotidienne.

De plus, la vulnérabilité CVE-2024-30078 peut entraîner de graves fuites de données personnelles. Les attaquants peuvent facilement accéder sans autorisation à des informations sensibles telles que les noms, adresses, numéros de téléphone, et même les informations financières et les dossiers médicaux des utilisateurs, entraînant de graves conséquences telles que la fraude, l'usurpation d'identité ou le chantage.

Mesures visant à atténuer les risques causés par la vulnérabilité CVE-2024-30078

Pour protéger les systèmes contre la vulnérabilité CVE-2024-30078, les organisations et les particuliers doivent déployer proactivement un ensemble complet de mesures de sécurité. Combiner différentes solutions permettra de réduire considérablement les risques et d'améliorer la protection des données.

Appliquer les patchs rapidement :Pour faire face à la grave vulnérabilité CVE-2024-30078, Microsoft a rapidement publié un correctif de sécurité en juin 2024. La mise à jour du système vers la dernière version avec ce correctif est extrêmement importante, car elle aidera à fermer la vulnérabilité, empêchant les attaquants d'en profiter pour pénétrer dans le système.

Activer les fonctionnalités avancées de sécurité réseau :Plus précisément, l'adoption de la dernière norme de sécurité pour les réseaux Wi-Fi (WPA3) permettra de chiffrer les données transmises sur ces réseaux de manière plus sécurisée. De plus, la désactivation des services inutiles, comme le partage de fichiers SMB (Server Message Block), ou l'autorisation de connexion et de contrôle à distance d'un autre ordinateur sur le réseau (Remote Desktop Protocol), contribuera à réduire la surface d'attaque et à protéger le système contre les attaques à distance.

Utilisez des mots de passe forts et uniques :Un mot de passe fort est essentiel pour protéger votre réseau Wi-Fi. Un mot de passe fort, composé d'une combinaison complexe de lettres, de chiffres et de caractères spéciaux, rendra la tâche des pirates beaucoup plus difficile. Cela empêchera les attaquants d'accéder à votre réseau et de voler vos informations.

Segmentation du réseau :La segmentation d'un réseau, également appelée partitionnement, consiste à diviser un vaste réseau en segments plus petits et plus sécurisés. Elle agit comme une barrière protectrice, empêchant la propagation d'attaques potentielles. Si une partie du réseau est compromise, la segmentation permet de limiter la portée de l'attaque, empêchant ainsi l'attaquant de se propager à d'autres zones du réseau.

Déploiement du système de détection et de prévention des intrusions :La mise en œuvre d'un système de détection et de prévention des intrusions (IDPS) permet non seulement aux organisations de détecter les activités suspectes ou inhabituelles dans le trafic réseau, mais aussi de prévenir proactivement les attaques en cours. IDPS est capable de détecter rapidement les signes d'exploitation de vulnérabilités et d'intervenir pour stopper l'attaque avant qu'elle ne cause des dommages.

Tests de sécurité et de pénétration réguliers :Des audits de sécurité réguliers et des tests de pénétration sont essentiels pour détecter rapidement les vulnérabilités et les faiblesses potentielles des configurations réseau, afin que ces problèmes puissent être résolus avant qu'un attaquant ne puisse les exploiter pour compromettre le système.

Sensibiliser les utilisateurs aux mesures de cybersécurité :La sensibilisation des utilisateurs aux mesures de cybersécurité est essentielle pour garantir la sécurité des informations. Sensibiliser les utilisateurs aux risques spécifiques liés à l'utilisation des réseaux Wi-Fi, tels que les attaques de phishing et les logiciels malveillants, et à l'importance du respect des réglementations de sécurité, les aidera à devenir une barrière efficace contre les cyberattaques. Comprendre les dangers et savoir les éviter réduit considérablement le risque d'incidents de sécurité.

Mise en œuvre d’un modèle de sécurité zéro confiance :Contrairement aux modèles de sécurité traditionnels, le modèle Zero Trust ne fait confiance à personne ni à aucun appareil d'emblée. Au contraire, tout accès au réseau doit être rigoureusement et continuellement authentifié. Cela signifie que même si un appareil a déjà obtenu un accès, il doit subir une nouvelle vérification à chaque fois qu'il souhaite accéder à une nouvelle ressource. Ainsi, le modèle Zero Trust réduit considérablement le risque d'attaque, même si un attaquant a pénétré une partie du réseau.