Недавнее открытие CYFIRMA Research выявило значительную угрозу кибербезопасности, связанную с обнаружением критической уязвимости удаленного выполнения кода (RCE), обозначенной как CVE-2024-30078. Эта уязвимость, затрагивающая драйверы Wi-Fi в различных версиях Microsoft Windows, может повлиять на более чем 1,6 миллиарда активных устройств по всему миру, вызывая тревогу в секторах, сильно зависящих от беспроводного подключения.
Как работает эксплойт
Уязвимость CVE-2024-30078 присутствует в нескольких версиях операционной системы Microsoft Windows, включая Windows 10, Windows 11 и несколько версий Windows Server. Недостаток заключается в функции Dot11Translate80211ToEthernetNdisPacket() родного драйвера Wi-Fi (nwifi.sys). Сообщается, что эта уязвимость активно эксплуатируется в таких регионах, как США, Китай и части Европы, создавая значительные риски для отраслей, полагающихся на обширные сети Wi-Fi и инфраструктуру Windows, включая здравоохранение, финансы, производство, правительство и технологии.
Характеризующаяся низкой сложностью атаки, эта уязвимость не требует сложных техник или взаимодействия с пользователем для эксплуатации. Злоумышленники могут отправлять специально сформированные сетевые пакеты на устройства в пределах их диапазона Wi-Fi, получая таким образом несанкционированный доступ. Корень этой уязвимости прослеживается до недостатка в компоненте управления канальным уровнем (LLC) сетевого стека, особенно касающегося управления длиной пакетов при использовании виртуальной локальной сети (VLAN). Это несоответствие ожидаемых размеров пакетов может привести к чтению за пределами допустимого диапазона и уязвимости записи на 2 байта.
Манипулируя этой уязвимостью, злоумышленники могут создавать специфические сетевые пакеты данных, которые взаимодействуют с уязвимой функцией, потенциально позволяя им перезаписывать критическую адресную информацию и выполнять произвольный код на скомпрометированной системе. Последствия успешной эксплуатации серьезны и затрагивают как отдельных пользователей, так и организации. Одним из самых тревожных исходов является возможность установки вредоносного ПО, когда злоумышленники могут удаленно развертывать различные вредоносные программы, включая программы-вымогатели и шпионское ПО.
После компрометации системы злоумышленники могут осуществлять латеральное перемещение внутри сети, что позволяет им переходить к другим подключенным устройствам и повышать свои привилегии для доступа к конфиденциальным данным и критической инфраструктуре. Кроме того, существует значительный риск вербовки в ботнеты, поскольку скомпрометированные системы могут быть ассимилированы в сети захваченных устройств под контролем злоумышленников. Эти ботнеты могут способствовать проведению распределенных атак типа "отказ в обслуживании" (DDoS) или поддерживать другие крупномасштабные вредоносные операции, усугубляя первоначальную угрозу, создаваемую уязвимостью.
Еще одной острой проблемой, связанной с CVE-2024-30078, является эксфильтрация данных. Злоумышленники могут получить несанкционированный доступ к конфиденциальной информации, включая личные данные, финансовые записи и интеллектуальную собственность.
Для снижения рисков, связанных с CVE-2024-30078, организации и частные лица могут принять несколько проактивных стратегий:
- Своевременное применение патчей: Самым важным шагом является своевременное применение патчей. Microsoft выпустила патч безопасности в июне 2024 года специально для устранения этой уязвимости. Регулярные обновления всех систем необходимы для снижения риска эксплуатации известных уязвимостей.
- Расширенные функции сетевой безопасности: Внедрение Wi-Fi Protected Access 3 (WPA3) может повысить безопасность беспроводной связи. Отключение ненужных сетевых протоколов также рекомендуется для дополнительной защиты сетевой среды.
- Сильные пароли: Использование сильных и уникальных паролей жизненно важно для защиты Wi-Fi сетей.
- Сегментация сети: Ограничение воздействия возможных атак путем сегментации сети может помочь минимизировать ущерб.