Серьёзная уязвимость в драйвере Wi-Fi ставит под угрозу миллиарды устройств

Соответственно, эта уязвимость безопасности может позволить злоумышленникам удалённо выполнить произвольный код (RCE) в уязвимых системах. Эта уязвимость, получившая код CVE-2024-30078, потенциально может нанести серьёзный ущерб, включая кражу конфиденциальных данных, уничтожение системы и даже получение контроля над всей сетью.

Эта серьезная уязвимость безопасности напрямую затрагивает драйверы Wi-Fi во многих версиях операционных систем Microsoft Windows, от Windows 7 до Windows 11, угрожая более чем 1,6 миллиарда устройств, используемых по всему миру.

Находясь в зоне действия Wi-Fi, злоумышленник может отправлять вредоносные пакеты, использовать уязвимости для выполнения произвольного кода на устройстве жертвы и тем самым красть конфиденциальные данные, устанавливать вредоносное ПО или даже удаленно управлять системой.

Как киберпреступники используют уязвимости безопасности?

Уязвимость CVE-2024-30078 позволяет злоумышленникам использовать функцию Dot11Translate80211ToEthernetNdisPacket() в нативном драйвере Wi-Fi (nwifi.sys) для отправки специально созданных сетевых пакетов. При получении этих пакетов системой Windows уязвимая функция выполняет вредоносный код, предоставленный злоумышленником, что позволяет злоумышленнику получить полный контроль над системой.

Эксплуатация уязвимости CVE-2024-30078 была зарегистрирована в США, Китае и ряде европейских стран. Атаки, направленные на медицинские учреждения, банки, производственные предприятия, государственные учреждения и технологические компании, привели к серьёзному ущербу, включая утечки данных пациентов, финансовые потери, сбои в производстве и даже потерю контроля над критически важными системами.

Уязвимость классифицируется как легко эксплуатируемая, то есть даже злоумышленники с небольшим техническим опытом могут воспользоваться ею для проникновения в систему. С помощью всего нескольких команд или автоматизированного инструмента злоумышленники могут отправлять заранее сформированные сетевые пакеты на устройства в зоне действия своей сети Wi-Fi, чтобы получить контроль над целевым устройством.

Уязвимость CVE-2024-30078 связана с ошибкой на уровне управления логическим каналом связи (LLC) сетевого стека, в частности, с обработкой длины пакетов при работе в виртуальных сетях (VLAN). Из-за разницы в определении размера пакетов злоумышленник может использовать чтение за пределами выделенного буфера памяти и перезапись двух байтов для выполнения произвольного кода, тем самым получая контроль над системой.

Злоумышленник может воспользоваться уязвимостью в функции Dot11Translate80211ToEthernetNdisPacket(), отправив специально сформированные сетевые пакеты, которые обманывают обработчик данных. Таким образом, он может перезаписать адреса памяти, содержащие важную информацию, например, изменить адрес дома на карте. Затем злоумышленник может внедрить вредоносный код в это новое местоположение, заставив систему выполняться по своему усмотрению.

Каковы последствия уязвимости CVE-2024-30078?

Успешная эксплуатация этой уязвимости может иметь ряд серьёзных последствий, затрагивающих как отдельных пользователей, так и организации. Одним из наиболее тревожных последствий является возможность установки вредоносного ПО. Злоумышленники могут удалённо внедрять на скомпрометированные системы различные вредоносные программы, включая программы-вымогатели и шпионское ПО.

Ещё более опасно то, что, успешно скомпрометировав одно устройство, злоумышленник может легко распространить атаку на другие устройства в той же сети. Это означает, что он может перейти на другие подключённые устройства, получив доступ к конфиденциальным данным и критически важной инфраструктуре.

Другим тревожным последствием является то, что большое количество подключенных к интернету устройств (таких как компьютеры, смартфоны, устройства Интернета вещей) заражены вредоносным ПО и удаленно управляются злоумышленником. Это большое количество зараженных устройств может быть использовано для запуска масштабных распределенных атак типа «отказ в обслуживании» (DDoS), приводящих к сбоям в работе веб-сайтов, онлайн-сервисов и даже критически важной инфраструктуры. Это приводит не только к финансовым потерям, но и к серьезным нарушениям повседневной жизни.

Кроме того, уязвимость CVE-2024-30078 может привести к серьёзной утечке персональных данных. Злоумышленники могут легко получить несанкционированный доступ к конфиденциальной информации, такой как имена, адреса, номера телефонов, даже финансовая информация и медицинские карты пользователей, что может привести к серьёзным последствиям, таким как мошенничество, кража личных данных или шантаж.

Меры по снижению рисков, вызванных уязвимостью CVE-2024-30078

Для защиты систем от уязвимости CVE-2024-30078 организациям и частным лицам необходимо заблаговременно внедрять комплексный набор мер безопасности. Сочетание различных решений позволит значительно снизить риски и улучшить защиту данных.

Незамедлительно применяйте исправления:Чтобы справиться с серьезной уязвимостью CVE-2024-30078, компания Microsoft оперативно выпустила исправление безопасности в июне 2024 года. Обновление системы до последней версии с помощью этого исправления крайне важно, поскольку оно поможет закрыть уязвимость, не дав злоумышленникам воспользоваться ею для проникновения в систему.

Включите расширенные функции безопасности сети:В частности, переход на новейший стандарт безопасности сетей Wi-Fi (WPA3) позволит более надёжно шифровать данные, передаваемые по сетям Wi-Fi. Кроме того, отключение ненужных служб, таких как протокол обмена файлами SMB (Server Message Block) или разрешение удалённого подключения и управления другим компьютером по сети (Remote Desktop Protocol), поможет сократить поверхность атаки, защитив систему от удалённых атак.

Используйте надежные и уникальные пароли:Надёжный пароль — ключ к защите вашей сети Wi-Fi. Надёжный пароль, состоящий из сложной комбинации букв, цифр и специальных символов, значительно усложнит хакерам подбор пароля. Это поможет предотвратить доступ злоумышленников к вашей сети и кражу ваших данных.

Сегментация сети:Сегментация сети, также известная как разделение сети, — это процесс разделения большой сети на более мелкие, более безопасные сегменты. Сегментация сети действует как защитный барьер, предотвращая распространение потенциальных атак. Если одна часть сети скомпрометирована, сегментация помогает ограничить масштаб атаки, предотвращая распространение злоумышленника на другие области сети.

Развертывание системы обнаружения и предотвращения вторжений:Внедрение системы обнаружения и предотвращения вторжений (IDPS) помогает организациям не только выявлять подозрительную или необычную активность в сетевом трафике, но и заблаговременно предотвращать атаки. IDPS способна быстро обнаруживать признаки использования уязвимостей и принимать меры для предотвращения атаки до того, как она нанесёт ущерб.

Регулярное тестирование безопасности и проникновения:Регулярные аудиты безопасности и испытания на проникновение имеют решающее значение для раннего обнаружения потенциальных уязвимостей и слабых мест в конфигурациях сети, чтобы эти проблемы можно было устранить до того, как злоумышленник сможет воспользоваться ими для компрометации системы.

Просвещайте пользователей о мерах кибербезопасности:Обучение пользователей мерам кибербезопасности является неотъемлемой частью обеспечения информационной безопасности. Информирование пользователей о специфических рисках использования сетей Wi-Fi, таких как фишинговые атаки, вредоносное ПО и важность соблюдения правил безопасности, поможет им стать надёжным барьером против кибератак. Когда пользователи понимают опасности и знают, как их избежать, вероятность инцидентов безопасности значительно снижается.

Реализация модели безопасности с нулевым доверием:В отличие от традиционных моделей безопасности, модель нулевого доверия изначально не доверяет никому и никакому устройству. Вместо этого весь доступ к сети должен строго и непрерывно проходить аутентификацию. Это означает, что даже если устройству ранее был предоставлен доступ, оно должно проходить повторную верификацию каждый раз, когда хочет получить доступ к новому ресурсу. В результате модель нулевого доверия значительно снижает риск атаки, даже если злоумышленник проник в часть сети.