CVE-2024-30078: Remotecodeausführung des Windows-WLAN-Treibers

Am 11. Juni veröffentlichte Microsoft in seinen Patch-News eine schwerwiegende Sicherheitslücke im Windows-Wi-Fi-Treiber, die in Remote Code Execution (RCE) bestand.

Ausnutzung von Sicherheitslücken

Diese Sicherheitslücke kann von einem Angreifer innerhalb der WLAN-Reichweite eines anfälligen Geräts ausgenutzt werden, sodass er speziell gestaltete Pakete an das Gerät senden kann, ohne dass eine Authentifizierung erforderlich ist und ohne dass eine Benutzerinteraktion erforderlich ist. Bei erfolgreicher Ausnutzung könnte es dem Angreifer ermöglichen, beliebigen Code auszuführen, was zu einer vollständigen Systemkompromittierung führen könnte.

Im Detail

Ein Angreifer kann die Schwachstelle des Windows-Wi-Fi-Treibers ausnutzen, indem er einen Wi-Fi-Zugangspunkt erstellt, der mit einer bösartigen SSID konfiguriert ist. Wenn der Computer des Opfers Wi-Fi-Netzwerke scannt und die SSID des Angreifers findet, wird der Code remote auf dem System des Opfers ausgeführt.

Der Umfang des Angriffs kann den unbefugten Zugriff auf das System des Opfers umfassen, was zu Datendiebstahl, der Installation von Ransomware oder anderen böswilligen Aktionen führen kann.

Die Hauptursache der Sicherheitslücke ist eine fehlerhafte Eingabevalidierung im WLAN-Treiber. Dieser Fehler ermöglicht es einem Angreifer, Eingaben zu manipulieren und einen Puffer zum Überlaufen zu bringen, was dazu ausgenutzt werden kann, Schadcode aus der Ferne auszuführen. 

Angriffsanforderungen und betroffene Versionen

Derzeit gibt es keinen veröffentlichten Exploit, der das Testen der Schwachstelle ermöglicht. Um sie auszunutzen, gelten jedoch einige Anforderungen und Merkmale:

• Es ist notwendig, sich in der Nähe des Netzwerks des Controllers aufzuhalten, insbesondere innerhalb der Reichweite des Wi-Fi-Netzwerks.

• Die Ausnutzung erfolgt ohne die Notwendigkeit einer Authentifizierung.

Die Schwachstelle wurde mit der Kennung CVE-2024-30078 katalogisiert und hat gemäß CVSS 3.1-Metriken einen Wert von 8,8.

Die von dieser Sicherheitslücke betroffenen Systeme sind die folgenden:

• Windows 10 (Versionen 1507, 1607, 1809, 21h2, 22h2)

• Windows 11 (Versionen 21h2, 22h2, 22h3, 23h2)

• Windows Server (2008 SP2, 2008 R2 SP1, 2012, 2012 R2, 2016, 2019, 2022, einschließlich Server Core-Installationen)

Erkennung und Behebung von Sicherheitslücken

Um diese Schwachstelle zu erkennen, ist es notwendig, die aktuelle Version des Systems zu überprüfen.

Um diese Schwachstelle zu mindern, müssen vor allem folgende Aspekte angegangen werden:

• Aktivieren Sie automatische Updates und versuchen Sie, die neueste Version verfügbar zu haben.

• Vermeiden Sie die Verbindung zu öffentlichen Netzwerken.