آسیب پذیری حیاتی اجرای کد از راه دور در درایورهای وای فای ویندوز مایکروسافت کشف شد

شناسهٔ خبر: 733222 - تاریخ: سپتامبر 6, 2024

(اعتبار تصویر: Shutterstock / song_about_summer)

یک تهدید جدید امنیتی سایبری توسط تحقیقات CYFIRMA کشف شده است که شامل یک آسیب‌پذیری شدید اجرای کد از راه دور (RCE) با نام CVE-2024-30078 است.

این نقص بر درایورهای Wi-Fi در نسخه های مختلف مایکروسافت ویندوز تأثیر می گذارد و خطر بالقوه ای را برای بیش از 1.6 میلیارد دستگاه فعال در سراسر جهان ایجاد می کند.

دیگر اخبار

مجموعه دستگاه های جوجه کشی SF IndieBio وعده های بیوتکنولوژیکی وحشیانه ای می دهد

این آسیب‌پذیری می‌تواند به عوامل مخرب در محدوده Wi-Fi اجازه دهد تا کدهای غیرمجاز را روی سیستم‌های آسیب‌دیده اجرا کنند.

نحوه عملکرد اکسپلویت

CVE-2024-30078 بر چندین نسخه از سیستم عامل مایکروسافت ویندوز، از جمله ویندوز 10 ، ویندوز 11 و چندین نسخه از ویندوز سرور تأثیر می گذارد. این نقص در تابع Dot11Translate80211ToEthernetNdisPacket() در درایور اصلی Wi-Fi (nwifi.sys) قرار دارد.

بهره برداری از CVE-2024-30078 در طبیعت در ایالات متحده، چین و بخش هایی از اروپا گزارش شده است. خطرات قابل توجهی برای صنایعی که به شدت به Wi-Fi و استقرار گسترده ویندوز وابسته هستند، از جمله مراقبت های بهداشتی، مالی، تولید، دولت و فناوری ایجاد می کند.

این به عنوان دارای پیچیدگی حمله کم طبقه بندی شده است، به این معنی که برای بهره برداری از آن نیازی به تکنیک های پیچیده یا تعامل کاربر نیست. در عوض، مهاجمان می‌توانند بسته‌های شبکه‌ای را که به‌ویژه ساخته شده‌اند به دستگاه‌هایی در محدوده Wi-Fi خود ارسال کنند تا دسترسی غیرمجاز داشته باشند.

این آسیب‌پذیری شامل یک نقص در مؤلفه کنترل لایه پیوند (LLC) پشته شبکه است. این نقص به نحوه مدیریت طول بسته ها هنگام استفاده از LAN مجازی (VLAN) مربوط می شود. این آسیب‌پذیری از اختلاف انتظارات اندازه بسته‌ها ناشی می‌شود که منجر به آسیب‌پذیری خواندن خارج از محدوده و آسیب‌پذیری نوشتن ۲ بایتی می‌شود.

بیشتر بخوانید

گوگل تأیید کرد: پیکسل واچ 3 قابل‌تعمیر نیست، فقط تعویض می‌شود

مهاجمان می‌توانند این آسیب‌پذیری را با ایجاد بسته‌های داده شبکه خاص که با تابع Dot11Translate80211ToEthernetNdisPacket() در تعامل هستند، دستکاری کنند. با بهره برداری از این نقص، مهاجمان می توانند اطلاعات آدرس حیاتی را بازنویسی کرده و کد دلخواه را بر روی سیستم آسیب دیده اجرا کنند.

اگر این آسیب‌پذیری با موفقیت مورد بهره‌برداری قرار گیرد، می‌تواند به چندین پیامد جدی منجر شود که بر کاربران و سازمان‌ها تأثیر می‌گذارد. یکی از هشدار دهنده ترین عواقب احتمال نصب بدافزار است. مهاجمان می‌توانند از راه دور انواع مختلفی از نرم‌افزارهای مخرب، از جمله باج‌افزار و جاسوس‌افزار را بر روی سیستم‌های در معرض خطر مستقر کنند.

علاوه بر این، هنگامی که یک سیستم در معرض خطر قرار می گیرد، مهاجمان می توانند در حرکت جانبی در داخل شبکه شرکت کنند. این بدان معنی است که آنها می توانند به سایر دستگاه های متصل رفته و امتیازات خود را برای دسترسی به داده های حساس و زیرساخت های حیاتی افزایش دهند.

پیامد جدی دیگر استخدام بات نت است که در آن سیستم های اکسپلویت شده می توانند در شبکه های دستگاه های در معرض خطر که توسط مهاجمان کنترل می شوند ادغام شوند. این بات‌نت‌ها را می‌توان برای راه‌اندازی حملات انکار سرویس توزیع‌شده (DDoS) یا تسهیل سایر فعالیت‌های مخرب در مقیاس بزرگ مورد استفاده قرار داد و تهدید ناشی از آسیب‌پذیری اولیه را بیشتر تقویت کرد.

استخراج داده ها همچنین یک نگرانی مهم مرتبط با CVE-2024-30078 است. این بازیگران بد می توانند دسترسی غیرمجاز به اطلاعات حساس، از جمله جزئیات شخصی ، سوابق مالی، و مالکیت معنوی داشته باشند.

راه های متعددی برای به حداقل رساندن خطر ناشی از CVE-2024-30078 وجود دارد. سازمان ها و افراد می توانند استراتژی های پیشگیرانه زیر را برای ارتقای فضای امنیت سایبری خود اتخاذ کنند:

برای محافظت در برابر این آسیب‌پذیری، اعمال سریع وصله‌ها حیاتی‌ترین مرحله است. مایکروسافت یک وصله امنیتی را در ژوئن 2024 منتشر کرد که به طور خاص به این آسیب‌پذیری رسیدگی می‌ کرد. به‌روزرسانی منظم همه سیستم‌ها به آخرین نسخه‌های نرم‌افزار برای اطمینان از کاهش آسیب‌پذیری‌های شناخته شده ضروری است و به طور قابل توجهی خطر بهره‌برداری را کاهش می‌دهد.

فعال کردن ویژگی های پیشرفته امنیتی شبکه یکی دیگر از اقدامات موثر است. به عنوان مثال، اجرای Wi-Fi Protected Access 3 (WPA3) می تواند امنیت ارتباطات بی سیم را افزایش دهد. علاوه بر این، غیرفعال کردن پروتکل‌های غیرضروری شبکه که می‌توانند توسط مهاجمان مورد سوء استفاده قرار گیرند، برای امنیت بیشتر محیط شبکه توصیه می‌شود.

استفاده از رمزهای عبور قوی و منحصر به فرد برای محافظت از شبکه های Wi-Fi بسیار مهم است.

تقسیم بندی شبکه همچنین می تواند نقش حیاتی در محدود کردن تأثیر حملات احتمالی داشته باشد.

استقرار سیستم‌های تشخیص نفوذ و پیشگیری (IDPS) می‌تواند به سازمان‌ها کمک کند تا فعالیت‌ها یا ناهنجاری‌های مشکوک را در ترافیک شبکه شناسایی کنند که ممکن است نشان‌دهنده تلاش برای سوء استفاده از آسیب‌پذیری‌ها باشد.

ممیزی‌های امنیتی منظم و تست نفوذ برای شناسایی آسیب‌پذیری‌ها و ضعف‌ها در پیکربندی‌های شبکه قبل از اینکه توسط مهاجمان مورد سوء استفاده قرار گیرند، ضروری هستند.

آموزش کاربران در مورد بهترین شیوه های امنیت سایبری نیز حیاتی است. آموزش کاربران در مورد خطرات خاص مرتبط با شبکه های Wi-Fi و اهمیت پیروی از پروتکل های امنیتی می تواند احتمال قرار گرفتن تصادفی در معرض حملات را به میزان قابل توجهی کاهش دهد.

در نهایت، پیاده‌سازی یک مدل امنیتی با اعتماد صفر تضمین می‌کند که تمام دسترسی‌های شبکه به‌عنوان بالقوه خطرناک در نظر گرفته می‌شود. این رویکرد مستلزم تأیید مداوم دستگاه‌ها و کاربران است و خطر دسترسی غیرمجاز را به حداقل می‌رساند، حتی اگر مهاجم بتواند وارد شبکه شود.

بیشتر از TechRadar Pro

بندیکت نزدیک به 5 سال است که در مورد مسائل امنیتی می نویسد، در ابتدا در زمانی که در دانشگاه باکینگهام بود، ژئوپلیتیک و روابط بین الملل را پوشش می داد. در این مدت او در رشته لیسانس سیاست با روزنامه‌نگاری تحصیل کرد، که برای آن افتخارات درجه دو (بخش فوقانی) را دریافت کرد. بندیکت سپس تحصیلات خود را در مقطع کارشناسی ارشد ادامه داد و در کارشناسی ارشد امنیت، اطلاعات و دیپلماسی موفق شد. بندیکت پس از پیوستن به TechRadar Pro به عنوان Staff Writer، علایق امنیتی خود را به سمت امنیت سایبری تغییر داد و بر عوامل تهدید، بدافزارها، مهندسی اجتماعی و امنیت ملی توسط دولت تمرکز کرد. بندیکت همچنین متخصص محصولات امنیتی B2B، از جمله فایروال، آنتی ویروس، امنیت نقطه پایانی و مدیریت رمز عبور است.