Hacking Ético
¿Quieres reaccionar a este mensaje? Regístrate en el foro con unos pocos clics o inicia sesión para continuar.

Vulnerabilidad en WPA2 - Hole196

2 participantes

Ir abajo

Vulnerabilidad en WPA2 - Hole196 Empty Vulnerabilidad en WPA2 - Hole196

Mensaje  KurioCT Miér Ago 11 2010, 20:05

HOLE 196 en WPA2

Una de las charlas más esperadas en la BlackHat de este año ha sido la del investigador de seguridad Sohail Ahmad en la que detalla una vulnerabilidad en el protocolo WPA2, hasta ahora considerado como el más seguro y al que ha apodado como Hole 196.

Vulnerabilidades en WPA/WPA2:
WPA2 (Wi-Fi Protected Access), basado en el estándar 802.11i, ha sido valorado como el sistema más seguro a día de hoy para proteger redes inalámbricas tras corregir ciertas vulnerabilidades detectadas en su predecesor WEP y de aportar ciertas mejoras respecto WPA (WPA2 emplea CCMP basado en AES). Hasta el momento, una de las formas de vulnerar dicho protocolo por parte de un atacante externo (usuarios no autenticado) es mediante fuerza bruta a las PSK (pre-shared key) a diferencia de WEP donde se emplean métodos estadísticos para acelerar el proceso de «cracking», esto se debe al uso de claves dinámicas por parte de WPA/WPA2.

El impacto por tanto de esta debilidad no es considerado muy grave ya que el éxito del mismo depende del nivel de fortaleza de las contraseñas. Además, dicho ataque requiere invertir mucho tiempo de procesamiento para generar claves (entre 100 y 300 por segundo en un equipo medio), lo que implica horas o días para testear todas las palabras del diccionario empleado. John the Ripper o aircrack-ng son algunas de las herramientas empleadas para llevar a cabo ataques de fuerza bruta generando contraseñas con todas las posibles combinaciones de caracteres o bien utilizando un fichero como fuente de palabras.

root@bt:/pentest/passwords/jtr# ./john --stdout --incremental:all | aircrack-ng -b 01:02:03:04:05:06 -w - /root/output*.cap

Los ficheros output*.cap se corresponden con el 4-way handshake capturado durante el proceso de autenticación del cliente con el AP. Para conseguir dicho handshake únicamente hay que esperar a que un cliente legítimo se autentique (o bien forzar su re-autenticación) con el AP y mediante herramientas como airodump-ng capturar el mismo.

Cabe destacar que WPA/WPA2 soporta varios sistemas de autenticación viéndose afectado al ataque de diccionario el modo de autenticación personal, es decir, el uso de PSK donde una contraseña se configura en cada estación para acceder a la red, a diferencia de 802.1x por medio de EAP, donde se utiliza un servidor Radius.

Vulnerabilidad Hole 196:
El nuevo "fallo" de seguridad reportado por Md Sohail Ahmad y que hace referencia a la página 196 del estándar 802.11 no emplea fuerza bruta como método de ataque sino que se aprovecha de una falta de comprobación de datos por parte de GTK (Group Temporal Key). WPA2 utiliza dos tipos de claves: Por una parte PTK (Pairwise Transient Key), la cual es única para cada cliente y se emplea para proteger tráfico unicast. Ésta contiene mecanismos para detectar falsificación de datos y «spoofing» de direcciones MAC, características que no existen en el segundo tipo de claves denominadas GTK (Group Temporal Key) utilizadas para proteger tráfico «broadcast» y «multicast» enviado a múltiples clientes en la red (por ejemplo solicitudes ARP) . Es aquí donde reside el problema, ya que un cliente podría recibir tráfico «broadcast» cifrado con la clave GTK desde un atacante (al ser esta común a todos los clientes), y contestar a éste con información privada.

El único aspecto tranquilizador de esta vulnerabilidad es que es necesario estar asociado y autenticado para poder llevar a cabo el ataque, ya que requiere conocer la clave de grupo (GTK) lo cual reduce el espectro de ataque a personal interno en la red a diferencia de los ataques comentados al principio.

Explotación
Esta falta de comprobación por parte de las GTK puede aprovecharse para realizar varios tipos de ataques. Uno de ellos consistiría en un «man in the middle». El proceso sería el siguiente:

1.Un atacante falsificaría peticiones ARP para envenenar la caché de un cliente, asociando la MAC del gateway con la del atacante. Esta petición se enviaría cifrada con la clave GTK (al tratarse de tráfico «broadcast» ) directamente al cliente evitando así al AP, y pasando por alto cualquier restricción configurada en el mismo. Este procedimiento se lleva a cabo creando paquetes con el bit DS (Distribution System) activado y cambiando los campos Address 1, Address 2 y Address 3 a las correspondientes direcciones.

2.Una vez que la víctima reciba el paquete, creyendo que éste proviene del AP, remplazará en su caché ARP la MAC asociada al gateway y a partir de ese momento, todo tráfico "saliente" (aquél que implique salir por el Gateway) se enviaría al AP con la IP del atacante, siendo éste cifrado con la PTK del cliente.

3.Por último el AP reenviará los datos al atacante usando su clave PTK y por tanto este podría descifrar el contenido de los paquetes enviados por la víctima. Para hacer el ataque transparente al usuario, el atacante podría reenviar el tráfico al sitio legítimo y devolver su contenido al usuario.
La ventaja que tiene este ataque frente al tradicional «man in the middle» es que no es detectable por IDS/IPS conectados a la parte cableada de la red o por el propio AP ya que las solicitudes arp no son enviadas al mismo (en cuyo caso haría un «broadcast» a los clientes wireless y los clientes conectados a la LAN) si no que se envía directamente a la víctima wireless.

Llevar a cabo este ataque no es complejo ya que únicamente se requiere una tarjeta que soporte inyección (drivers madwifi por ejemplo) y un pequeño software que se encargue de crear y enviar las GTK falsificadas.

Es importante destacar que esta vulnerabilidad afecta a todas las implementaciones de WPA y WPA2 independientemente del tipo de cifrado utilizado (AES, TKIP) y del tipo de autenticación (PSK o EAP) pero no compromete tales cifrados ni sistemas de autenticación.

Mitigación
Al tratarse de una vulnerabilidad en el propio protocolo la solución más eficiente sería generar GTKs aleatorias y distintas para cada cliente que se asocie con el AP aunque esto implicaría convertir dichos paquetes en tráfico «unicast» con la consecuente pérdida de rendimiento que ello implicaría. De cara al usuario la única solución temporal que puede implementarse es la utilización de software local que monitorice cambios sospechosos en la caché arp como Snort o DecaffeinatID.

En el ámbito empresarial se aconseja el uso de WIPS que supervisen el tráfico wireless o aplicar funcionalidades "client isolation" semejantes a la funcionalidad PSPF empleada por cisco. Esta característica evita que los clientes hablen entre sí independientemente de que se siga realizando el envenenamiento arp aunque todavía sería posible llevar el ataque siempre y cuando se estableciera un gateway falso en la red cableada.

Al tratarse de un ataque interno el impacto de esta vulnerabilidad tiene más efecto en el entorno empresarial por lo que se recomienda aplicar las medidas comentadas anteriormente hasta una correcta implementación del protocolo o bien hasta que se proporcionen soluciones propietarias por parte de los fabricantes de routers.
KurioCT
KurioCT

Mensajes : 384
Fecha de inscripción : 23/06/2010

Volver arriba Ir abajo

Vulnerabilidad en WPA2 - Hole196 Empty Re: Vulnerabilidad en WPA2 - Hole196

Mensaje  ciyinet Miér Ago 11 2010, 22:43

Gracias! Yo ya lo estuve leyendo hace unos días en: http://www.airtightnetworks.com/WPA2-Hole196

Pero así, en español, muchísimo más clarito todo.
ciyinet
ciyinet

Mensajes : 316
Fecha de inscripción : 23/06/2010

Volver arriba Ir abajo

Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.