Nueva vulnerabilidad Wi-Fi permite la escucha ilegal de la red

Iniciado por AXCESS, Mayo 19, 2024, 01:41:48 AM

Tema anterior - Siguiente tema

martim y 17 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 19, 2024, 01:41:48 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores han descubierto una nueva vulnerabilidad de seguridad derivada de una falla de diseño en el estándar Wi-Fi IEEE 802.11 que engaña a las víctimas para que se conecten a una red inalámbrica menos segura y espíen su tráfico de red.

El ataque SSID Confusion, rastreado como CVE-2023-52424, afecta a todos los sistemas operativos y clientes Wi-Fi, incluidas las redes domésticas y mesh basadas en los protocolos WEP, WPA3, 802.11X/EAP y AMPE.

El método "implica degradar a las víctimas a una red menos segura falsificando un nombre de red confiable (SSID) para que puedan interceptar su tráfico o llevar a cabo más ataques", dijo Top10VPN, que colaboró con el profesor e investigador de KU Leuven Mathy Vanhoef.

"Un ataque exitoso de confusión de SSID también hace que cualquier VPN con la funcionalidad de deshabilitarse automáticamente en redes confiables se apague sola, dejando expuesto el tráfico de la víctima".

El problema que subyace al ataque es el hecho de que el estándar Wi-Fi no requiere que el nombre de la red (SSID o el identificador del conjunto de servicios) esté siempre autenticado y que las medidas de seguridad sólo se requieren cuando un dispositivo opta por unirse a una red en particular.

El efecto neto de este comportamiento es que un atacante podría engañar a un cliente para que se conecte a una red Wi-Fi que no es de confianza distinta a aquella a la que pretendía conectarse mediante un ataque de adversario en el medio (AitM).

"En nuestro ataque, cuando la víctima quiere conectarse a la red TrustedNet, lo engañamos para que se conecte a una red diferente, WrongNet, que utiliza credenciales similares", describieron los investigadores Héloïse Gollier y Vanhoef. "Como resultado, el cliente de la víctima pensará y le mostrará al usuario que está conectado a TrustedNet, cuando en realidad está conectado a WrongNet".

En otras palabras, aunque las contraseñas u otras credenciales se verifican mutuamente al conectarse a una red Wi-Fi protegida, no hay garantía de que el usuario se esté conectando a la red que desea.


Existen ciertos requisitos previos para llevar a cabo el ataque de degradación:

    La víctima quiere conectarse a una red Wi-Fi confiable

    Hay una red fraudulenta disponible con las mismas credenciales de autenticación que la primera

    El atacante está dentro del alcance para realizar una AitM entre la víctima y la red de confianza

Las mitigaciones propuestas para contrarrestar la confusión de SSID incluyen una actualización del estándar Wi-Fi 802.11 mediante la incorporación del SSID como parte del protocolo de enlace de 4 vías al conectarse a redes protegidas, así como mejoras en la protección de balizas que permiten que un "cliente almacene una baliza de referencia que contiene el SSID de la red y verificar su autenticidad durante el protocolo de enlace de 4 vías".

Las balizas se refieren a tramas de gestión que un punto de acceso inalámbrico transmite periódicamente para anunciar su presencia. Contiene información como el SSID, intervalo de baliza y las capacidades de la red, entre otros.

"Las redes pueden mitigar el ataque evitando la reutilización de credenciales entre SSID", dijeron los investigadores. "Las redes empresariales deben utilizar nombres comunes de servidores RADIUS distintos, mientras que las redes domésticas deben utilizar una contraseña única por SSID".

Los hallazgos llegan casi tres meses después de que se revelaran dos fallas de omisión de autenticación en software Wi-Fi de código abierto como wpa_supplicant y iNet Wireless Daemon (IWD) de Intel que podrían engañar a los usuarios para que se unan a un clon malicioso de una red legítima o permitir que un atacante se una a una red confiable sin poseer la contraseña.

En agosto pasado, Vanhoef también reveló que se podría engañar al cliente de Windows para Cloudflare WARP para que filtrara todas las solicitudes de DNS, lo que permitiría efectivamente a un adversario falsificar respuestas de DNS e interceptar casi todo el tráfico.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Mayo 19, 2024, 02:38:20 AM #1
Una respuesta interesante en el canal del vídeo en YouTube

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Entonces, si entiendo esto correctamente, solo es un problema si el segundo AP tiene protocolos de cifrado inferiores o es menos confiable. Solo con esta vulnerabilidad, el atacante MitM no puede descifrar ni manipular el tráfico. El atacante necesita exploits adicionales como KRACK en el segundo AP. Si no se aprovecha eso, no sucede mucho, excepto tal vez un rendimiento degradado.

El caso más común: varios SSID para 2,4/5/6 GHz se ejecutan en la misma plataforma con los mismos estándares de seguridad por el mismo operador y la misma red IP, aquí no tiene ningún impacto. Algunos operadores incluso utilizan un SSID para todas las frecuencias, los clientes cambian automáticamente, lo que también es seguro.
Yo diría que la configuración es cuestionable de todos modos si hay opciones inseguras, no solo si el atacante puede forzar un cambio, sino que también los usuarios pueden elegir aleatoriamente la opción incorrecta.

Además, los diferentes niveles de confianza (redes internas/públicas) obviamente deberían tener claves diferentes; de lo contrario, no tiene sentido separarlas; la reutilización de credenciales es una mala práctica, en cualquier caso.

En general, esta vulnerabilidad es mucho menos grave de lo que uno podría suponer al leer el mensaje "falla en IEEE 802.11... vulnerable a la interceptación y manipulación del tráfico". Sería bueno aclarar la condición requerida de que "una segunda red disponible con las mismas credenciales de autenticación que la primera" solo es crítica si la segunda red es en realidad menos segura."
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hoy a las 03:36:30 AM #2 Ultima modificación: Hoy a las 03:38:05 AM por Hern@n
 >:(  >:(  >:(  es una vieja tecnca de sniffing desde que wifi es wifi  ::)
(•_•)
Hoy a las 11:33:33 AM #3
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta>:(  >:(  >:(  es una vieja tecnca de sniffing desde que wifi es wifi  ::)
??
Apasionado de la seguridad informática y de los cacharros en general.
Múltiples personalidades.
A veces escribo código.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario