Eseguire codice dannoso via WiFi: quanto è davvero pericolosa la falla scoperta in Windows

Nel rilasciare gli aggiornamenti di sicurezza di giugno 2024 per Windows e per gli altri suoi software, Microsoft ha confermato la risoluzione della vulnerabilità contraddistinta con l’identificativo CVE-2024-30078. Di primo acchito, sembra trattarsi di un problema devastante: un aggressore remoto può eseguire codice dannoso via WiFi, provocandone il caricamento sui sistemi Windows fisicamente dislocati nelle vicinanze.

Microsoft, anche con l’obiettivo di non facilitare il lavoro dei criminali informatici, non fornisce al momento alcun dettaglio tecnico. Nel suo bollettino, si limita a osservare che per sfruttare la vulnerabilità “è necessario che l’aggressore si trovi in ​​prossimità del sistema bersaglio per inviare e ricevere segnali radio“. Inoltre, aggiunge che l’utente malintenzionato “potrebbe inviare un pacchetto di rete dannoso a un sistema adiacente che utilizza un adattatore di rete WiFi“. Questo tipo di operazione potrebbe consentire l’esecuzione di codice in modalità remota, in forza di una convalida non corretta dei dati inviati in input.

Quanto è davvero pericolosa la falla nel driver WiFi di Windows? I sistemi sono davvero a rischio?

Per come l’azienda di Redmond ha presentato il problema di sicurezza CVE-2024-30078, sembra proprio che chi usa dispositivi Windows dotati di modulo WiFi possa rischiare l’esecuzione di codice dannoso.

Diciamo subito che la problematica in questione non va presa sotto gamba. La vulnerabilità colpisce il driver WiFi nativo di Windows (nwifi.sys), componente software critico alla base del funzionamento del sistema operativo. Ciò significa che, potenzialmente, milioni di dispositivi Windows potrebbero essere vulnerabili rispetto alla falla CVE-2024-30078. Vanno però fatte diverse importanti precisazioni.

Controllare se il proprio dispositivo usa il driver in questione

L’aggiornamento cumulativo di giugno 2024 distribuito da Microsoft per tutte le versioni di Windows, permette di risolvere un problema scoperto nel driver nwifi.sys.

Premendo Windows+X, scegliendo Gestione dispositivi, cliccando su Scheda di rete, selezionando l’adattatore WiFi quindi la scheda Driver e infine Dettagli driver, è possibile verificare i file in uso.

Se nwifi.sys non è presente nell’elenco, significa che il sistema sta utilizzando un driver diverso, probabilmente fornito dal produttore della scheda WiFi.

Come funziona l’attacco via WiFi

Sui sistemi Windows che si servono del driver nativo, la falla CVE-2024-30078 può diventare pericolosa allorquando l’attaccante creasse un hotspot WiFi malevolo e l’utente provasse a stabilirvi una connessione. Allo stato attuale non sembra assolutamente possibile che la falla possa essere sfruttata da altri client collegati con un access point WiFi legittimo.

Come dimostra il codice proof-of-concept pubblicato su GitHub da un ricercatore indipendente, un eventuale attaccante può allestire un hotspot wireless “ad hoc” attendendo che i client Windows vulnerabili provino a stabilire un collegamento. Sfruttando un errore di buffer overflow, la vittima potrebbe subire l’esecuzione di codice arbitrario o, quanto meno, un crash del suo sistema.

Per adesso, sembra che la falla sia sfruttabile utilizzando un frame molto specifico, utile per raggiungere la porzione di codice vulnerabile nel driver WiFi nativo di Windows. Vari esperti, comunque, hanno fatto progressi significativi nella creazione di un exploit funzionante.

La situazione non è così grave

Allo stato attuale, il problema di sicurezza CVE-2024-30078 non è sfruttabile su larga scala in modalità WiFi e l’eventuale esecuzione di codice malevolo può al limite manifestarsi soltanto usando il driver nativo di Windows e provando a stabilire una connessione con hotspot wireless creati ad arte.

A scopo precauzionale, è comunque bene installare gli aggiornamenti Microsoft di giugno 2024.

Credit immagine in apertura: Copilot Designer.