lunes, 6 de agosto de 2018

Nuevo método de ataque en redes Wifi WPA/WPA2 PSK usando PMKID

El desarrollador Jens "atom" Steube, de la aplicación de cracking HashCatha encontrado una nueva vulnerabilidad en las redes Wireless protegidas con WPA-WPA2 PSK (Pre-Shared Key) con fast roaming activado, ya que son vulnerables a un nuevo método de ataque. A diferencia de otros ataques no se necesita ningún cliente conectado, ya que se ataca directamente al router obteniendo el valor PMKID. Tampoco requiere full handshake (4 vías).




Los ataques WPA / WPA2 anteriores requerían que un atacante esperara pacientemente mientras escuchaba en una red inalámbrica hasta que el usuario iniciara sesión con éxito. Luego podrían capturar el saludo de cuatro vías para "descifrar" la clave.

Nueva vulnerabilidad en WPA2-PSK 

Los desarrolladores descubrieron este ataque de forma totalmente accidental mientras estaban buscando posibles ataques para WPA3, el cual será mucho más difícil de atacar gracias al uso de Simultaneous Authentication of Equals (SAE), que lo hace inmune a ataques pasivos, activos, o ataques con diccionario.

WPA2, siglas de WiFi Protected Access 2, está considerado como el sistema para proteger redes inalámbricas de máxima seguridad. Recordemos que WPA2 es un protocolo de seguridad para las redes WiFi con 15 años de antigüedad (publicado en 2004), y ya tiene su sustituto en WPA3.

WPA y WPA2 se diferencian poco conceptualmente y difieren principalmente en el algoritmo de cifrado que emplean. Mientras WPA basa el cifrado de las comunicaciones en el uso del algoritmo TKIP [Temporary Key Integrity Protocol], que está basado en RC4 al igual que WEP, WPA2 utiliza CCMP [Counter-mode/CBC-MAC Protocol] basado en AES [Advanced Encrytion System]. La segunda diferencia notable se encuentra en el algoritmo utilizado para controlar la integridad del mensaje. Mientras WPA usa una versión menos elaborada para la generación del código MIC [Message Integrity Code], o código “Michael”, WPA2 implementa una versión mejorada de MIC.

WPA-PSK/ WPA2-PSK y TKIP o AES utilizan una llave pre-compartida (Pre-Shared Key=PSK) de 8 o más caracteres de largo, y de un máximo de 63 caracteres.

La clave del ataque que han descubierto es que, a diferencia de otros previos, no se necesita capturar el handshake EAPOL (Extensible Authentication Protocol over LAN) de 4 vías como sí hacía falta con KRACK. En su lugar, el ataque lo que extraer el RSN IE (Robust Security Network Information Element) de un sólo frame EAPOL. El RSN IE es un campo opcional que contiene el (PMK), el cual se genera por el propio router cuando un usuario intenta autenticarse.

Las principales ventajas frente a otros tipos de ataques ya conocidos son:

  • No se requieren más usuarios regulares, porque el atacante se comunica directamente con el AP (también conocido como ataque "sin cliente")
  • No más esperando un apretón de manos completo de 4 vías entre el usuario regular y el AP
  • No más retransmisiones eventuales de marcos EAPOL (lo que puede llevar a resultados imposibles de descifrar)
  • No más contraseñas eventuales no válidas enviadas por el usuario habitual
  • No más marcos EAPOL perdidos cuando el usuario regular o el AP está demasiado lejos del atacante
  • No se requiere la fijación de los valores de nonce y replaycounter (lo que resulta en velocidades ligeramente más altas)
  • No más formato de salida especial (pcap, hccapx, etc.) - los datos finales aparecerán como una cadena codificada hexagonal regular 

Pairwise Master Key Identifier (PMKID)


El PMKID se calcula utilizando HMAC-SHA1 donde la clave es PMK y la parte de datos es la concatenación de una etiqueta de cadena fija "Nombre PMK", la dirección MAC del punto de acceso y la dirección MAC de la estación.

PMK = PBKDF2(HMAC-SHA1, PSK, SSID, 4096, 256)
PMKID = HMAC-SHA1-128 (PMK, "Nombre de PMK" | MAC_AP | MAC_STA)

Además, obtener el handshake es mucho más fácil obteniendo el Pairwise Master Key Identifier (PMK). También han añadido un nuevo método de resolución de hashes llamado hash-mode 16801, el cual permite saltarse la parte de computación de PMK, que es lo que hasta ahora hacía que el crackeo de WPA fuera tan lento. Así, ahora es mucho más fácil obtener el hash, pero crackearlo sigue siendo igual de difícil (o fácil) que siempre, dependiendo de los medios que se dispongan.

El modo 16801 espera una lista de PMK precalculados, como cadenas codificadas hexadecimales de longitud 64, como la lista de palabras de entrada. Para precalcular los PMK, puede usar la herramienta hcxkeys. Las herramientas hcxkeys requieren el ESSID, por lo que debe solicitar el ESSID de su cliente con anticipación.

Los descubridores no saben cuál es el alcance de la vulnerabilidad, ni en cuántos dispositivos y routers funcionará. Lo que sí saben es que funcionará en cualquier red que tengan roaming activado (802.11i/p/q/r) (los routers más modernos). Muchas empresas con WPA2 Enterprise usan PSK, por lo que sus redes ahora son vulnerables a estos nuevos ataques.

Fuentes:
https://www.adslzone.net/2018/08/06/wpa2-psk-wifi-vulnerabilidad/
https://hashcat.net/forum/thread-7717.html

2 comentarios: