Une grave faille de sécurité dans un pilote Wi-Fi met en danger des milliards d'appareils.

Cette faille de sécurité permet donc à des attaquants d'exécuter du code arbitraire à distance (RCE) sur les systèmes vulnérables. Référencée CVE-2024-30078, elle est susceptible d'entraîner des dommages importants, tels que le vol de données sensibles, la destruction du système, voire la prise de contrôle de l'ensemble du réseau.

Cette grave faille de sécurité affecte directement les pilotes Wi-Fi sur de nombreuses versions des systèmes d'exploitation Microsoft Windows, de Windows 7 à Windows 11, menaçant plus de 1,6 milliard d'appareils utilisés dans le monde.

Le simple fait d'être à portée du Wi-Fi permet à un attaquant d'envoyer des paquets malveillants, d'exploiter des vulnérabilités pour exécuter du code arbitraire sur l'appareil de la victime, volant ainsi des données sensibles, installant des logiciels malveillants, voire contrôlant le système à distance.

Comment les cybercriminels exploitent-ils les failles de sécurité ?

La vulnérabilité CVE-2024-30078 permet à un attaquant d'exploiter la fonction Dot11Translate80211ToEthernetNdisPacket() du pilote Wi-Fi natif (nwifi.sys) pour envoyer des paquets réseau spécialement conçus. À la réception de ces paquets par un système Windows, la fonction vulnérable exécute un code malveillant fourni par l'attaquant, lui permettant ainsi de prendre le contrôle total du système.

L'exploitation de la vulnérabilité CVE-2024-30078 a été signalée aux États-Unis, en Chine et dans plusieurs pays européens. Les attaques ciblant des établissements de santé, des banques, des usines, des agences gouvernementales et des entreprises technologiques ont causé des dommages importants, notamment des fuites de données de patients, des pertes financières, des interruptions de production et même la perte de contrôle de systèmes critiques.

Cette vulnérabilité est considérée comme facilement exploitable, ce qui signifie que même des attaquants peu expérimentés techniquement peuvent s'en servir pour pénétrer le système. Quelques lignes de commande ou un outil automatisé suffisent pour envoyer des paquets réseau préconfigurés aux appareils situés à portée de leur réseau Wi-Fi et ainsi prendre le contrôle de l'appareil cible.

La vulnérabilité CVE-2024-30078 est liée à un bug dans la couche LLC (Logical Link Control) de la pile réseau, plus précisément dans la gestion de la longueur des paquets lors de l'utilisation de réseaux virtuels (VLAN). En raison d'une incohérence dans la détermination de la taille des paquets, un attaquant peut exploiter une lecture hors limites et un écrasement de 2 octets pour exécuter du code arbitraire et ainsi prendre le contrôle du système.

Un attaquant peut exploiter la vulnérabilité de la fonction Dot11Translate80211ToEthernetNdisPacket() en envoyant des paquets réseau spécialement conçus pour tromper le gestionnaire de données. Il peut ainsi écraser des adresses mémoire contenant des informations importantes, comme par exemple modifier l'adresse d'une maison sur une carte. L'attaquant peut ensuite insérer du code malveillant à cet emplacement, ce qui permet au système de s'exécuter à sa guise.

Quelles sont les conséquences de la vulnérabilité CVE-2024-30078 ?

Si elle était exploitée avec succès, cette vulnérabilité pourrait avoir de graves conséquences, affectant aussi bien les particuliers que les organisations. L'une des conséquences les plus alarmantes est la possibilité d'installer des logiciels malveillants. Des attaquants pourraient déployer à distance divers logiciels malveillants, notamment des rançongiciels et des logiciels espions, sur les systèmes compromis.

Plus inquiétant encore, une fois qu'un attaquant a compromis un appareil, il peut facilement étendre l'attaque à d'autres appareils du même réseau. Il peut ainsi accéder à d'autres appareils connectés et compromettre des données sensibles et des infrastructures critiques.

Une autre conséquence inquiétante est la propagation des logiciels malveillants et le contrôle à distance d'un grand nombre d'appareils connectés à Internet (ordinateurs, smartphones, objets connectés, etc.). Ces appareils infectés peuvent ensuite être utilisés pour lancer des attaques par déni de service distribué (DDoS) de grande ampleur, paralysant des sites web, des services en ligne, voire des infrastructures critiques. Il en résulte non seulement des pertes financières, mais aussi de graves perturbations de la vie quotidienne.

De plus, la vulnérabilité CVE-2024-30078 peut entraîner de graves fuites de données personnelles. Des attaquants peuvent facilement accéder sans autorisation à des informations sensibles telles que les noms, adresses, numéros de téléphone, voire des informations financières et des dossiers médicaux d'utilisateurs, ce qui peut avoir de graves conséquences comme la fraude, l'usurpation d'identité ou le chantage.

Mesures visant à atténuer les risques liés à la vulnérabilité CVE-2024-30078

Pour protéger les systèmes contre la vulnérabilité CVE-2024-30078, les organisations et les particuliers doivent déployer de manière proactive un ensemble complet de mesures de sécurité. La combinaison de différentes solutions permettra de réduire considérablement les risques et d'améliorer la protection des données.

Appliquez les correctifs rapidement :Pour remédier à la grave vulnérabilité CVE-2024-30078, Microsoft a rapidement publié un correctif de sécurité en juin 2024. La mise à jour du système vers la dernière version intégrant ce correctif est extrêmement importante, car elle permettra de corriger la vulnérabilité et d'empêcher les attaquants de l'exploiter pour pénétrer le système.

Activer les fonctions avancées de sécurité réseau :Plus précisément, le passage à la norme de sécurité la plus récente pour les réseaux Wi-Fi (WPA3) permettra de chiffrer plus efficacement les données transmises sur ces réseaux. De plus, la désactivation des services inutiles, tels que le partage de fichiers SMB (Server Message Block) ou l'autorisation de la connexion et du contrôle à distance d'un autre ordinateur via le réseau (Remote Desktop Protocol), contribuera à réduire la surface d'attaque et à protéger le système contre les attaques à distance.

Utilisez des mots de passe forts et uniques :Un mot de passe robuste est essentiel pour protéger votre réseau Wi-Fi. Un mot de passe complexe, composé de lettres, de chiffres et de caractères spéciaux, compliquera considérablement la tâche des pirates informatiques. Cela contribuera à empêcher les intrusions dans votre réseau et le vol de vos informations.

Segmentation du réseau :La segmentation de réseau, également appelée partitionnement de réseau, consiste à diviser un grand réseau en segments plus petits et plus sécurisés. Elle agit comme une barrière de protection, empêchant la propagation d'éventuelles attaques. Si une partie du réseau est compromise, la segmentation contribue à limiter la portée de l'attaque, empêchant ainsi l'attaquant de se propager à d'autres zones du réseau.

Déploiement d'un système de détection et de prévention des intrusions :La mise en œuvre d'un système de détection et de prévention des intrusions (IDPS) permet non seulement aux organisations de détecter les activités suspectes ou inhabituelles sur leur réseau, mais aussi de prévenir proactivement les attaques en cours. L'IDPS est capable de détecter rapidement les signes d'exploitation de vulnérabilités et d'intervenir pour stopper l'attaque avant qu'elle ne cause des dommages.

Tests de sécurité et d'intrusion réguliers :Des audits de sécurité réguliers et des tests d'intrusion sont essentiels pour détecter rapidement les vulnérabilités et les faiblesses potentielles des configurations réseau, afin que ces problèmes puissent être résolus avant qu'un attaquant puisse les exploiter pour compromettre le système.

Sensibiliser les utilisateurs aux mesures de cybersécurité :Sensibiliser les utilisateurs aux mesures de cybersécurité est essentiel pour garantir la sécurité de l'information. Les informer des risques spécifiques liés à l'utilisation des réseaux Wi-Fi, tels que les attaques de phishing, les logiciels malveillants et l'importance du respect des réglementations de sécurité, les aidera à se prémunir efficacement contre les cyberattaques. Lorsque les utilisateurs comprennent les dangers et savent comment les éviter, la probabilité d'incidents de sécurité diminue considérablement.

Mise en œuvre d'un modèle de sécurité zéro confiance :Contrairement aux modèles de sécurité traditionnels, le modèle « zéro confiance » ne fait confiance à personne ni à aucun appareil dès le départ. Au contraire, tout accès au réseau doit être rigoureusement et continuellement authentifié. Cela signifie que même si un appareil a déjà bénéficié d'un accès, il doit se soumettre à une nouvelle vérification à chaque fois qu'il souhaite accéder à une nouvelle ressource. De ce fait, le modèle « zéro confiance » réduit considérablement le risque d'attaque, même si un attaquant a réussi à pénétrer une partie du réseau.