Złośliwy bliźniak EAP-TLS

{% hint style="success" %} Dowiedz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Dowiedz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wesprzyj HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na GitHubie.

{% endhint %}

Wskazówka dotycząca nagrody za błąd: Zarejestruj się na platformie Intigriti, premiumowej platformie nagród za błędy stworzonej przez hakerów, dla hakerów! Dołącz do nas na https://go.intigriti.com/hacktricks już dziś i zacznij zarabiać nagrody do $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

W pewnym momencie musiałem skorzystać z proponowanego rozwiązania przez poniższy post, ale kroki w https://github.com/OpenSecurityResearch/hostapd-wpe nie działały już w nowoczesnym kali (2019v3).
W każdym razie, łatwo je było uruchomić.
Wystarczy pobrać hostapd-2.6 stąd: https://w1.fi/releases/ i przed ponownym kompilowaniem hostapd-wpe zainstalować: apt-get install libssl1.0-dev

Analiza i Wykorzystanie EAP-TLS w Sieciach Bezprzewodowych

Tło: EAP-TLS w Sieciach Bezprzewodowych

EAP-TLS to protokół bezpieczeństwa zapewniający wzajemną autentykację między klientem a serwerem za pomocą certyfikatów. Połączenie jest nawiązywane tylko wtedy, gdy zarówno klient, jak i serwer autentykują certyfikaty drugiej strony.

Napotkane Wyzwanie

Podczas oceny napotkano interesujący błąd podczas korzystania z narzędzia hostapd-wpe. Narzędzie odrzuciło połączenie klienta z powodu certyfikatu klienta podpisanego przez nieznanego dostawcę certyfikatów (CA). Wskazywało to, że klient nie ufał certyfikatowi fałszywego serwera, co wskazywało na luźne konfiguracje bezpieczeństwa po stronie klienta.

Cel: Ustawienie Ataku Człowiek w Środku (MiTM)

Celem było zmodyfikowanie narzędzia tak, aby akceptowało dowolny certyfikat klienta. Pozwoliłoby to na nawiązanie połączenia z złośliwą siecią bezprzewodową i umożliwiło atak typu MiTM, potencjalnie przechwytując dane w postaci zwykłego tekstu lub inne wrażliwe informacje.

Rozwiązanie: Modyfikacja `hostapd-wpe`

Analiza kodu źródłowego hostapd-wpe ujawniła, że walidacja certyfikatu klienta była kontrolowana przez parametr (verify_peer) w funkcji OpenSSL SSL_set_verify. Zmieniając wartość tego parametru z 1 (walidacja) na 0 (brak walidacji), narzędzie zostało zmuszone do akceptowania dowolnego certyfikatu klienta.

Wykonanie Ataku

Sprawdzenie Środowiska: Użyj airodump-ng do monitorowania sieci bezprzewodowych i identyfikacji celów.
Utwórz Fałszywy AP: Uruchom zmodyfikowany hostapd-wpe, aby stworzyć fałszywy punkt dostępu (AP) imitujący sieć docelową.
Dostosowanie Portalu Przechwytywania: Dostosuj stronę logowania portalu przechwytywania, aby wyglądała legitnie i znajomo dla użytkownika docelowego.
Atak Deautentykacji: Opcjonalnie, przeprowadź atak deautentykacji, aby odłączyć klienta od prawidłowej sieci i połączyć go z fałszywym AP.
Przechwytywanie Poświadczeń: Gdy klient połączy się z fałszywym AP i będzie działał z portalem przechwytywania, ich poświadczenia zostaną przechwycone.

Obserwacje z Ataku

Na maszynach z systemem Windows system może automatycznie połączyć się z fałszywym AP, prezentując portal przechwytywania podczas próby nawigacji internetowej.
Na iPhone'ach użytkownik może zostać poproszony o zaakceptowanie nowego certyfikatu, a następnie prezentowany z portalem przechwytywania.

Podsumowanie

Mimo że EAP-TLS jest uważany za bezpieczny, jego skuteczność w dużej mierze zależy od poprawnej konfiguracji i ostrożnego zachowania użytkowników końcowych. Niewłaściwie skonfigurowane urządzenia lub naiwni użytkownicy akceptujący fałszywe certyfikaty mogą podważyć bezpieczeństwo sieci zabezpieczonej EAP-TLS.

Dla dalszych szczegółów sprawdź https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/