Mathy Vanhoef, autor do ataque KRACK a redes sem fio, divulgou informações sobre 12 vulnerabilidades que afetam vários dispositivos sem fio. Os problemas identificados são apresentados sob o codinome FragAttacks e abrangem quase todas as placas wireless e pontos de acesso em uso – dos 75 dispositivos testados, cada um era suscetível a pelo menos um dos métodos de ataque propostos.
Os problemas são divididos em duas categorias: 3 vulnerabilidades foram identificadas diretamente nos padrões Wi-Fi e abrangem todos os dispositivos que suportam os atuais padrões IEEE 802.11 (os problemas foram rastreados desde 1997). 9 vulnerabilidades estão relacionadas a erros e falhas em implementações específicas de pilhas sem fio. O principal perigo é representado pela segunda categoria, uma vez que a organização de ataques a deficiências de padrões exige a presença de configurações específicas ou a realização de determinadas ações por parte da vítima. Todas as vulnerabilidades ocorrem independentemente dos protocolos usados para garantir a segurança do Wi-Fi, inclusive ao usar WPA3.
A maioria dos métodos de ataque identificados permite que um invasor substitua quadros L2 em uma rede protegida, o que possibilita invadir o tráfego da vítima. O cenário de ataque mais realista é falsificar as respostas do DNS para direcionar o usuário ao host do invasor. Também é dado um exemplo do uso de vulnerabilidades para ignorar o tradutor de endereços em um roteador sem fio e organizar o acesso direto a um dispositivo em uma rede local ou ignorar restrições de firewall. A segunda parte das vulnerabilidades, associada ao processamento de frames fragmentados, permite extrair dados sobre o tráfego em uma rede sem fio e interceptar dados do usuário transmitidos sem criptografia.
O pesquisador preparou uma demonstração mostrando como vulnerabilidades podem ser usadas para interceptar uma senha transmitida ao acessar um site via HTTP sem criptografia, além de mostrar como atacar um soquete inteligente controlado via Wi-Fi e usá-lo como trampolim para continuar o ataque. em dispositivos não atualizados em uma rede local que possuem vulnerabilidades não corrigidas (por exemplo, foi possível atacar um computador não atualizado com Windows 7 na rede interna via NAT traversal).
Para explorar as vulnerabilidades, o invasor deve estar dentro do alcance do dispositivo sem fio alvo para enviar um conjunto de quadros especialmente criado para a vítima. Os problemas afetam dispositivos clientes e placas wireless, bem como pontos de acesso e roteadores Wi-Fi. Em geral, usar HTTPS em combinação com a criptografia do tráfego DNS usando DNS sobre TLS ou DNS sobre HTTPS é suficiente como solução alternativa. Usar uma VPN também é adequado para proteção.
As mais perigosas são quatro vulnerabilidades na implementação de dispositivos sem fio, que permitem métodos triviais para conseguir a substituição de seus quadros não criptografados:
- As vulnerabilidades CVE-2020-26140 e CVE-2020-26143 permitem o preenchimento de quadros em alguns pontos de acesso e placas wireless no Linux, Windows e FreeBSD.
- A vulnerabilidade VE-2020-26145 permite que fragmentos não criptografados de transmissão sejam processados como quadros completos no macOS, iOS e FreeBSD e NetBSD.
- A vulnerabilidade CVE-2020-26144 permite o processamento de quadros A-MSDU remontados e não criptografados com EtherType EAPOL em Huawei Y6, Nexus 5X, FreeBSD e LANCOM AP.
Outras vulnerabilidades nas implementações estão relacionadas principalmente a problemas encontrados no processamento de frames fragmentados:
- CVE-2020-26139: Permite o redirecionamento de frames com flag EAPOL enviados por um remetente não autenticado (afeta 2/4 pontos de acesso confiáveis, bem como soluções baseadas em NetBSD e FreeBSD).
- CVE-2020-26146: permite a remontagem de fragmentos criptografados sem verificar a ordem do número de sequência.
- CVE-2020-26147: Permite a remontagem de fragmentos mistos criptografados e não criptografados.
- CVE-2020-26142: Permite que quadros fragmentados sejam tratados como quadros completos (afeta o OpenBSD e o módulo wireless ESP12-F).
- CVE-2020-26141: A verificação TKIP MIC está ausente para quadros fragmentados.
Problemas de especificação:
- CVE-2020-24588 – ataque a frames agregados (o sinalizador “está agregado” não é protegido e pode ser substituído por um invasor em frames A-MSDU em WPA, WPA2, WPA3 e WEP). Um exemplo de ataque usado é redirecionar um usuário para um servidor DNS malicioso ou passagem NAT.
- CVE-2020-245870 é um ataque de mistura de chaves (permitindo que fragmentos criptografados usando chaves diferentes em WPA, WPA2, WPA3 e WEP sejam remontados). O ataque permite determinar os dados enviados pelo cliente, por exemplo, determinar o conteúdo do Cookie ao acessar via HTTP.
- CVE-2020-24586 é um ataque ao cache de fragmentos (os padrões que abrangem WPA, WPA2, WPA3 e WEP não exigem a remoção de fragmentos já alojados no cache após uma nova conexão à rede). Permite determinar os dados enviados pelo cliente e substituir os seus dados.
Para testar o grau de suscetibilidade de seus dispositivos a problemas, foram preparados um kit de ferramentas especial e uma imagem Live pronta para criar uma unidade USB inicializável. No Linux, aparecem problemas na malha sem fio mac80211, nos drivers sem fio individuais e no firmware carregado nas placas sem fio. Para eliminar as vulnerabilidades, foi proposto um conjunto de patches que cobre a pilha mac80211 e os drivers ath10k/ath11k. Alguns dispositivos, como placas sem fio Intel, exigem atualização adicional de firmware.
Testes de dispositivos típicos:
Testes de placas wireless em Linux e Windows:
Testes de placas wireless no FreeBSD e NetBSD:
Os fabricantes foram notificados dos problemas há 9 meses. Um período de embargo tão longo é explicado pela preparação coordenada de atualizações e atrasos na preparação de alterações nas especificações pelas organizações ICASI e Wi-Fi Alliance. Inicialmente estava prevista a divulgação da informação no dia 9 de março, mas, após comparação dos riscos, decidiu-se adiar a publicação por mais dois meses para dar mais tempo à preparação dos patches, tendo em conta o caráter não trivial das alterações sendo feitos e as dificuldades decorrentes da pandemia de COVID-19.
Vale ressaltar que apesar do embargo, a Microsoft corrigiu algumas vulnerabilidades antes do previsto na atualização de março do Windows. A divulgação das informações foi adiada uma semana antes da data originalmente prevista e a Microsoft não teve tempo ou não quis fazer alterações na atualização planejada e pronta para publicação, o que criou uma ameaça aos usuários de outros sistemas, uma vez que invasores poderiam obter informações sobre vulnerabilidades por meio de engenharia reversa do conteúdo das atualizações.
Fonte: opennet.ru