El hallazgo fue realizado por el investigador Mathy Vanhoef, del grupo de investigación IMEC-DISTRINET de la universidad Belga KU Leuven.
Con esta vulnerabilidad, los atacantes podrían acceder a la red WiFi con cualquier protocolo: WPA-TKIP, AES-CCMP, y GCMP y sin requerir contraseña. Los investigadores en seguridad han afirmado "si tu dispositivo soporta Wi-Fi, es muy probable que esté afectado. Durante nuestra investigación inicial hemos descubierto que Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys y otros están afectados por alguna variante de los ataques".
La parte principal del ataque es llevado a cabo contra el handshake de 4 vías del protocolo WPA2, Esto ocurre durante el protocolo de autenticación 4-way handshake, cuando se negocian las claves compartidas y el Pairwise Master Key (PMK), para iniciar el cifrado de la comunicación.
Este "saludo" se ejecuta cuando un cliente desea unirse a una red Wi-Fi protegida, y se utiliza para confirmar que tanto el cliente como el AP poseen las credenciales correctas (por ejemplo, la contraseña precompartida de la red). Al mismo tiempo, el saludo de 4 vías también negocia una nueva clave de cifrado que se utilizará para cifrar todo el tráfico subsiguiente. Actualmente, todas las redes Wi-Fi utilizan este protocolo de enlace de 4 vías.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgF0QmFNSYQwd_UjxZMe5wUeS7z6wPIQjrQ_F6NXYDC2dNeWGpQinKsrI3LLBFq4kRvIYeyngVN1r8mXgIm6GJOxqA_2gN9qLi7xh4eNRWmXasQpmEfG2wWAkMjdwHpvKtc1V20-fAgs08/s640/Figura2.png)
Esto implica que todas estas redes se ven afectadas por (alguna variante de) este ataque. Por ejemplo, el ataque funciona contra redes Wi-Fi personales y empresariales, contra WPA y el último estándar WPA2, e incluso contra redes que solo usan AES.
Vanhoef ha demostrado públicamente, cómo el protocolo WPA2/WPA es vulnerable a un nuevo tipo de ataque, provocando que se pueda comprometer la comunicación segura e incluso inyectar código, mediante un ataque MitM al mecanismo de autenticación. Las herramientas serán publicadas en el futuro.
Éste sería un resumen simplificado del ataque:
- El atacante intenta unirse a una red WiFi.
- Comienza el proceso four-way handshake.
- Se negocia una nueva clave de cifrado en el Mensaje 3 del proceso.
- No se envía la señal de ACKnowledgment (reconocimiento) que verifica que se ha recibido el Mensaje 3 correctamente.
- Esto fuerza que el punto de acceso (AP) retrasmita de nuevo el Mensaje 3 varias veces.
- Este proceso repetido varias veces, siempre instalará la misma clave de cifrado y por lo tanto reseteará a cero nonce (número aleatorio el cual precisamente se encarga de evitar que se pueda repetir ataques y que actúa como contador de los paquetes transmitidos, ver figura 4).
- El atacante puede en este punto forzar estos reseteos nonce recolectándolos y repitiendo retrasmisiones del Mensaje 3.
- Reutilizando estos nonce es posible repetir los paquetes y descifrarlos ya que la misma clave de descifrado se utiliza con valores nonce que ya se han utilizado en el pasado (reutilizando los llamados "keystream" cuando se cifran paquetes).
- En función del análisis de los paquetes descifrados, sería posible insertar un programa malicioso en la red o simplemente analizar el tráfico generado por los usuarios de la red.
Una forma de reducir el riesgo para los que gestionan datos sensibles, es la utilización de una VPN (Virtual Private Network) que cifre los datos y los ofusque tu conexión incluso para el ISP.
El equipo investigador asegura que existe una forma de solucionar el inconveniente mediante un parche al protocolo, no necesariamente una actualización a un WPA3. Los parches los debe emitir el fabricante del router o el dispositivo que emite la red WiFi.
La investigación será presentada el 1 de noviembre en la conferencia Computer and Communications Security (CCS) y en Black Hat Europe en diciembre. Quienes deseen conocer las especificaciones técnicas de esta vulnerabilidad y las herramientas utilizadas en los ataques, pueden dirigirse a esta web.
Este tipo de ataque se basa en diferentes técnicas y un conjunto de vulnerabilidades sobre el protocolo, por lo que ha recibido hasta 10 CVEs distintos (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 y CVE-2017-13088).
Ataques que se pueden hacer:
- El adversario puede descifrar paquetes arbitrariamente.
- El adversario puede obtener los números de secuencia TCP de una conexión y secuestrar esas conexiones.
- El adversario puede reproducir tramas de broadcast y multicast.
- El adversario puede descifrar e inyectar paquetes arbitrarios (solo TKIP o GCMP)
- El adversario puede obligar al cliente a usar una clave de cifrado "all-zero" (ANDROID 6.0+ y LINUX)
- El adversario no puede recuperar la contraseña de WPA.
- El adversario no puede inyectar paquetes en AES-CCMP.
Por ahora, se han publicado parches para hostapd and wpa_supplicant bajo Linux, y se prevé que durante esta semana se vayan actualizando las demás implementaciones, pero debido al numeroso volumen de dispositivos WIFI, recomendamos encarecidamente aplicar los mismos en cuanto estén disponible ya que es la única medida viable por el momento.
Por otro lado, parece que Microsoft se ha dado prisa y ya tiene un parche para solucionar este problema para Windows.
0 comentarios:
Publicar un comentario