Lỗ hổng bảo mật nghiêm trọng trong trình điều khiển Wi-Fi gây nguy hiểm cho hàng tỷ thiết bị
Mới đây, Công ty an ninh mạng Cyfirma có trụ sở tại Singapore đã phát hiện lỗ hổng bảo mật nghiêm trọng trong trình điều khiển Wi-Fi của Microsoft Windows, gây nguy hiểm cho hàng tỷ thiết bị trên toàn cầu.
Theo đó, lỗ hổng bảo mật này có thể cho phép kẻ tấn công thực thi mã tùy ý từ xa (RCE) trên các hệ thống dễ bị tổn thương. Lỗ hổng này, được đặt mã CVE-2024-30078, có khả năng gây ra thiệt hại nghiêm trọng, bao gồm đánh cắp dữ liệu nhạy cảm, phá hủy hệ thống và thậm chí kiểm soát toàn bộ mạng lưới.
Lỗ hổng bảo mật nghiêm trọng này tác động trực tiếp đến trình điều khiển Wi-Fi trên nhiều phiên bản hệ điều hành Microsoft Windows, từ Windows 7 đến Windows 11, đe dọa hơn 1,6 tỷ thiết bị đang sử dụng trên toàn cầu.
Chỉ cần ở trong phạm vi phủ sóng Wi-Fi, kẻ tấn công có thể gửi các gói tin độc hại, khai thác lỗ hổng để thực thi mã tùy ý trên thiết bị của nạn nhân, từ đó đánh cắp dữ liệu nhạy cảm, cài đặt phần mềm độc hại hoặc thậm chí kiểm soát từ xa hệ thống.
Tội phạm mạng khai thác lỗ hổng bảo mật như thế nào?
Lỗ hổng CVE-2024-30078 cho phép kẻ tấn công lợi dụng hàm Dot11Translate80211ToEthernetNdisPacket() trong trình điều khiển Wi-Fi gốc (nwifi.sys) để gửi các gói tin mạng được thiết kế đặc biệt. Khi hệ thống Windows nhận được các gói tin này, hàm bị lỗi sẽ thực thi mã độc hại do kẻ tấn công cung cấp, từ đó cho phép chúng kiểm soát hoàn toàn hệ thống.
Việc khai thác lỗ hổng CVE-2024-30078 đã được ghi nhận tại Mỹ, Trung Quốc và nhiều quốc gia châu Âu. Các cuộc tấn công nhắm vào các cơ sở y tế, ngân hàng, nhà máy sản xuất, cơ quan chính phủ và các công ty công nghệ đã gây ra những thiệt hại nghiêm trọng, bao gồm rò rỉ dữ liệu bệnh nhân, mất mát tài chính, gián đoạn sản xuất và thậm chí cả việc kiểm soát các hệ thống quan trọng.
Lỗ hổng này được xếp vào loại dễ bị khai thác, nghĩa là ngay cả những kẻ tấn công không có nhiều kỹ thuật chuyên môn cũng có thể lợi dụng để xâm nhập hệ thống. Chỉ với một vài dòng lệnh hoặc một công cụ tự động, kẻ tấn công có thể gửi các gói tin mạng được thiết kế sẵn đến các thiết bị trong phạm vi phủ sóng Wi-Fi của chúng để chiếm quyền kiểm soát thiết bị mục tiêu.
Lỗ hổng CVE-2024-30078 liên quan đến một lỗi trong lớp điều khiển liên kết lô-gic (LLC) của ngăn xếp mạng, cụ thể là trong cách xử lý độ dài gói tin khi hoạt động trên mạng ảo (VLAN). Do sự sai lệch trong việc xác định kích thước gói tin, kẻ tấn công có thể lợi dụng lỗi đọc ngoài giới hạn và lỗi ghi đè 2 byte để thực thi mã tùy ý, từ đó chiếm quyền kiểm soát hệ thống.
Kẻ tấn công có thể khai thác lỗ hổng trong hàm Dot11Translate80211ToEthernetNdisPacket() bằng cách gửi các gói tin mạng được thiết kế đặc biệt để đánh lừa hàm xử lý dữ liệu. Bằng cách này, chúng có thể ghi đè lên các địa chỉ bộ nhớ chứa thông tin quan trọng, giống như việc thay đổi địa chỉ của một ngôi nhà trên bản đồ. Sau đó, kẻ tấn công có thể chèn mã độc hại vào vị trí mới này, khiến hệ thống thực thi theo ý muốn của chúng.
Những hậu quả mà lỗ hổng CVE-2024-30078 gây ra là gì?
Nếu khai thác thành công, lỗ hổng này có thể dẫn đến một số hậu quả nghiêm trọng, ảnh hưởng đến cả người dùng cá nhân và tổ chức. Một trong những hậu quả đáng báo động nhất là khả năng cài đặt phần mềm độc hại. Kẻ tấn công có thể triển khai từ xa nhiều loại phần mềm độc hại, bao gồm cả phần mềm tống tiền và phần mềm gián điệp vào các hệ thống bị xâm phạm.
Nguy hiểm hơn nữa, sau khi xâm nhập thành công một thiết bị, kẻ tấn công có thể dễ dàng lây lan cuộc tấn công sang các thiết bị khác trong cùng mạng. Điều này có nghĩa là chúng có thể điều hướng đến các thiết bị được kết nối khác, tăng quyền truy cập vào dữ liệu nhạy cảm và cơ sở hạ tầng quan trọng.
Một hệ quả đáng lo ngại khác là việc một tập hợp lớn các thiết bị được kết nối với internet (như máy tính, điện thoại thông minh, thiết bị IoT) đã bị nhiễm mã độc và bị điều khiển từ xa bởi một kẻ tấn công. Từ đó, tập hợp lớn các thiết bị bị nhiễm mã độc này có thể được sử dụng để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) quy mô lớn, làm sập các trang web, dịch vụ trực tuyến, và thậm chí cả các cơ sở hạ tầng quan trọng. Điều này không chỉ gây ra thiệt hại về tài chính mà còn gây ra sự gián đoạn lớn trong cuộc sống hàng ngày.
Bên cạnh đó, lỗ hổng CVE-2024-30078 có thể dẫn đến việc rò rỉ dữ liệu cá nhân một cách nghiêm trọng. Kẻ tấn công có thể dễ dàng truy cập trái phép vào các thông tin nhạy cảm như tên, địa chỉ, số điện thoại, thậm chí cả thông tin tài chính và hồ sơ y tế của người dùng, gây ra những hậu quả nghiêm trọng như lừa đảo, đánh cắp danh tính hoặc tống tiền.
Các biện pháp để giảm thiểu rủi ro do lỗ hổng CVE-2024-30078 gây ra
Để bảo vệ hệ thống trước lỗ hổng CVE-2024-30078, các tổ chức và cá nhân cần chủ động triển khai một loạt các biện pháp bảo mật toàn diện. Việc kết hợp nhiều giải pháp khác nhau sẽ giúp giảm thiểu đáng kể rủi ro và tăng cường khả năng bảo vệ dữ liệu.
Áp dụng các bản vá kịp thời: Để đối phó với lỗ hổng nghiêm trọng CVE-2024-30078, Microsoft đã nhanh chóng phát hành bản vá bảo mật vào tháng 6 năm 2024. Việc cập nhật hệ thống lên phiên bản mới nhất với bản vá này là vô cùng quan trọng, bởi nó sẽ giúp vá kín lỗ hổng, ngăn chặn kẻ tấn công lợi dụng để xâm nhập hệ thống.
Kích hoạt các tính năng bảo mật mạng nâng cao: Cụ thể, việc chuyển sang sử dụng tiêu chuẩn bảo mật mới nhất cho mạng Wi-Fi (WPA3) sẽ giúp mã hóa dữ liệu truyền qua mạng Wi-Fi một cách an toàn hơn. Ngoài ra, việc tắt các dịch vụ không cần thiết như chia sẻ tệp SMB (Server Message Block) hoặc cho phép kết nối và điều khiển một máy tính khác từ xa qua mạng (Remote Desktop Protocol) sẽ giúp giảm thiểu bề mặt tấn công, bảo vệ hệ thống khỏi các cuộc tấn công từ xa.
Sử dụng mật khẩu mạnh và duy nhất: Mật khẩu mạnh là chìa khóa để bảo vệ mạng Wi-Fi của bạn. Một mật khẩu mạnh, gồm sự kết hợp phức tạp của chữ cái, số và ký tự đặc biệt, sẽ khiến việc dò tìm mật khẩu trở nên khó khăn hơn rất nhiều. Điều này sẽ giúp ngăn chặn những kẻ tấn công truy cập trái phép vào mạng của bạn và đánh cắp thông tin.
Phân đoạn mạng: Phân đoạn mạng, còn được gọi là phân vùng mạng, là quá trình chia một mạng lớn thành các phân đoạn nhỏ hơn, an toàn hơn. Phân đoạn mạng đóng vai trò như một hàng rào bảo vệ, ngăn chặn sự lây lan của các cuộc tấn công tiềm ẩn. Nếu một phần của mạng bị xâm nhập, việc phân đoạn sẽ giúp giới hạn phạm vi tác động của cuộc tấn công, ngăn không cho kẻ tấn công lan rộng ra các khu vực khác trong mạng.
Triển khai Hệ thống phát hiện và ngăn chặn xâm nhập: Việc triển khai Hệ thống phát hiện và ngăn chặn xâm nhập (IDPS) không chỉ giúp các tổ chức phát hiện các hoạt động đáng ngờ hoặc bất thường trong lưu lượng mạng mà còn chủ động ngăn chặn các cuộc tấn công đang diễn ra. IDPS có khả năng phát hiện các dấu hiệu khai thác lỗ hổng một cách nhanh chóng và thực hiện các hành động để chặn đứng cuộc tấn công trước khi gây ra thiệt hại.
Kiểm tra bảo mật và thử nghiệm thâm nhập thường xuyên: Việc kiểm tra bảo mật và thử nghiệm thâm nhập thường xuyên đóng vai trò vô cùng quan trọng trong việc phát hiện sớm các lỗ hổng và điểm yếu tiềm ẩn trong cấu hình mạng. Nhờ đó, chúng ta có thể khắc phục các vấn đề này trước khi kẻ tấn công lợi dụng để xâm nhập hệ thống.
Giáo dục người dùng về các biện pháp bảo mật mạng: Giáo dục người dùng về các biện pháp bảo mật mạng là một yếu tố không thể thiếu trong việc đảm bảo an toàn thông tin. Việc đào tạo người dùng về các rủi ro cụ thể khi sử dụng mạng Wi-Fi, như các cuộc tấn công lừa đảo, phần mềm độc hại và tầm quan trọng của việc tuân thủ các quy định bảo mật sẽ giúp họ trở thành một hàng rào bảo vệ vững chắc trước các cuộc tấn công mạng. Khi người dùng hiểu rõ về các mối nguy hiểm và biết cách phòng tránh, khả năng xảy ra các sự cố bảo mật sẽ giảm đáng kể.
Triển khai mô hình bảo mật zero-trust: Khác với các mô hình bảo mật truyền thống, mô hình zero-trust không tin tưởng bất kỳ ai hoặc bất kỳ thiết bị nào ngay từ đầu. Thay vào đó, mọi truy cập vào mạng đều phải được xác thực chặt chẽ và liên tục. Điều này có nghĩa là, ngay cả khi một thiết bị đã được cấp phép truy cập trước đó, nó vẫn phải trải qua quá trình xác minh lại mỗi khi muốn truy cập vào một tài nguyên mới. Nhờ đó, mô hình zero-trust giúp giảm thiểu đáng kể rủi ro bị tấn công, ngay cả khi kẻ tấn công đã xâm nhập vào một phần của mạng.