Mathy Vanhoef
L’une des choses qui fait fonctionner le Wi-Fi est sa capacité à diviser de gros morceaux de données en plus petits morceaux et à combiner de plus petits morceaux en plus gros morceaux, en fonction des besoins du réseau à un moment donné. Il s’avère que ces fonctionnalités de plomberie réseau banales abritaient des vulnérabilités qui pouvaient être exploitées pour envoyer des utilisateurs vers des sites Web malveillants ou exploiter ou altérer des appareils connectés au réseau, selon des recherches récemment publiées.
En tout, le chercheur Mathy Vanhoef a trouvé une douzaine de vulnérabilités, soit dans la spécification Wi-Fi, soit dans la manière dont la spécification a été implémentée dans un grand nombre d’appareils. Vanhoef a doublé les vulnérabilités FragAttacks, abréviation d’attaques de fragmentation et d’agrégation, car elles impliquent toutes une fragmentation ou une agrégation de trames. D’une manière générale, ils permettent aux personnes à portée radio d’injecter des trames de leur choix dans des réseaux protégés par un cryptage basé sur WPA.
Mauvaises nouvelles
Évaluer l’impact des vulnérabilités n’est pas simple. Les FragAttacks permettent d’injecter des données dans le trafic Wi-Fi, mais elles ne permettent pas d’exfiltrer quoi que ce soit. Cela signifie que FragAttacks ne peut pas être utilisé pour lire des mots de passe ou d’autres informations sensibles comme l’a fait une précédente attaque Wi-Fi de Vanhoef, appelée Krack. Mais il s’avère que les vulnérabilités – certaines qui font partie du Wi-Fi depuis sa sortie en 1997 – peuvent être exploitées pour infliger d’autres types de dommages, en particulier si elles sont associées à d’autres types de piratage.
«Il n’est jamais bon d’avoir quelqu’un capable de déposer des paquets sur votre réseau ou de cibler vos appareils sur le réseau», a écrit Mike Kershaw, expert en sécurité Wi-Fi et développeur du renifleur sans fil open source Kismet et IDS, dans un e-mail. «À certains égards, ce n’est pas pire que d’utiliser un point d’accès non chiffré dans un café – quelqu’un peut faire la même chose pour vous là-bas, trivialement – mais parce qu’ils peuvent se produire sur des réseaux que vous penseriez autrement sécurisés et auraient pu être configurés comme un réseau de confiance, c’est certainement une mauvaise nouvelle. »
Il a ajouté: «Dans l’ensemble, je pense qu’ils donnent à quelqu’un qui ciblait déjà une attaque contre un individu ou une entreprise un point d’ancrage qu’il n’aurait pas eu auparavant, ce qui a certainement un impact, mais ne présente probablement pas un risque aussi énorme que le lecteur. par des attaques contre la personne moyenne. »
Bien que les failles aient été révélées la semaine dernière dans le cadre d’un effort à l’échelle du secteur neuf mois en cours de fabrication, il reste difficile de savoir dans de nombreux cas quels appareils étaient vulnérables à quelles vulnérabilités et quelles vulnérabilités, le cas échéant, ont reçu des mises à jour de sécurité. Il est presque certain que de nombreux appareils compatibles Wi-Fi ne seront jamais réparés.
Injection DNS non fiable
L’une des vulnérabilités les plus graves de la suite FragAttacks réside dans la spécification Wi-Fi elle-même. Suivi comme CVE-2020-24588, la faille peut être exploitée d’une manière qui oblige les appareils Wi-Fi à utiliser un serveur DNS non autorisé, qui à son tour peut diriger les utilisateurs vers des sites Web malveillants plutôt que ceux qu’ils voulaient. À partir de là, les pirates peuvent lire et modifier tout trafic non chiffré. Les serveurs DNS non fiables permettent également aux pirates Attaques de rebinding DNS, dans lequel des sites Web malveillants manipulent un navigateur pour attaquer d’autres appareils connectés au même réseau.
Le serveur DNS non autorisé est introduit lorsqu’un attaquant injecte un Annonce du routeur ICMPv6 dans le trafic Wi-Fi. Les routeurs émettent généralement ces annonces afin que les autres périphériques du réseau puissent les localiser. La publicité injectée demande à tous les appareils d’utiliser un DNS spécifié par l’attaquant pour les recherches d’adresses IPv6 et IPv4.
Un exploit démontré dans une vidéo publiée par Vanhoef montre l’attaquant attirant la cible vers un site Web qui cache la publicité du routeur dans une image.
FragAttacks: démonstration de failles dans WPA2 / 3.
Voici un aperçu visuel:
Mathy Vanhoef
Dans un e-mail, Vanhoef a expliqué: «La publicité du routeur IPv6 est placée dans la charge utile (c’est-à-dire la partie données) du paquet TCP. Ces données sont par défaut transmises à l’application qui a créé la connexion TCP. Dans la démo, ce serait le navigateur, qui attend une image. Cela signifie que par défaut, le client ne traitera pas l’annonce du routeur IPv6, mais traitera à la place la charge utile TCP en tant que données d’application. »
Vanhoef a déclaré qu’il était possible d’effectuer l’attaque sans interaction de l’utilisateur lorsque le point d’accès de la cible est vulnérable à CVE-2021-26139, l’une des 12 vulnérabilités qui composent le package FragAttacks. La faille de sécurité provient d’une faille du noyau dans NetBSD 7.1 qui entraîne le transfert des points d’accès Wi-Fi Protocole d’authentification extensible (AP) sur LAN trames à d’autres appareils même lorsque l’expéditeur ne s’est pas encore authentifié auprès de l’AP.
Il est prudent d’aller de l’avant, mais pour ceux qui sont curieux de connaître le bogue logiciel spécifique et la raison pour laquelle la démo vidéo utilise une image malveillante, Vanhoef a expliqué:
Pour que la victime traite la charge utile TCP (c’est-à-dire la partie de données) comme un paquet séparé, la faille de conception d’agrégation dans le Wi-Fi est abusée. Autrement dit, l’attaquant intercepte le paquet TCP malveillant au niveau de la couche Wi-Fi et définit l’indicateur «est agrégé» dans l’en-tête Wi-Fi. En conséquence, le récepteur divisera la trame Wi-Fi en deux paquets réseau. Le premier paquet réseau contient une partie de l’en-tête TCP d’origine et est rejeté. Le deuxième paquet correspond à la charge utile TCP, dont nous nous sommes assurés qu’elle correspondra désormais au paquet ICMPv6, et par conséquent, l’annonce du routeur ICMPv6 est maintenant traitée par la victime comme un paquet séparé. Ainsi, la proximité de la victime est nécessaire pour définir l’indicateur Wi-Fi «est agrégé» afin que le paquet TCP malveillant soit divisé en deux par le récepteur.
Le défaut de conception est qu’un adversaire peut changer / définir le drapeau «est agrégé» sans que le récepteur s’en aperçoive. Cet indicateur doit avoir été authentifié pour qu’un récepteur puisse détecter s’il a été modifié.
Il est possible d’effectuer l’attaque sans interaction de l’utilisateur lorsque le point d’accès est vulnérable à CVE-2020-26139. Sur quatre routeurs domestiques testés, deux d’entre eux présentaient cette vulnérabilité. Il semble que la plupart des routeurs basés sur Linux soient affectés par cette vulnérabilité. Le document de recherche explique plus en détail comment cela fonctionne – essentiellement, au lieu d’inclure l’annonce du routeur ICMPV6 dans un paquet TCP malveillant, elle peut ensuite être incluse dans un message de prise de contact non chiffré (que l’AP transmettra ensuite au client, après quoi l’adversaire peut à nouveau définir le drapeau « est agrégé », etc.).
Percer un trou dans le pare-feu
Quatre des 12 vulnérabilités qui composent les FragAttacks sont des failles d’implémentation, ce qui signifie qu’elles proviennent de bogues que les développeurs de logiciels ont introduits lors de l’écriture de code basé sur la spécification Wi-Fi. Un attaquant peut les exploiter contre des points d’accès pour contourner un avantage de sécurité clé qu’ils fournissent.
En plus de permettre à plusieurs appareils de partager une seule connexion Internet, les routeurs empêchent le trafic entrant d’atteindre les appareils connectés à moins que les appareils ne l’aient demandé. Ce pare-feu fonctionne en utilisant la traduction d’adresses réseau, ou NAT, qui mappe les adresses IP privées que l’AP attribue à chaque périphérique sur le réseau local à une seule adresse IP que l’AP utilise pour envoyer des données sur Internet.
Le résultat est que les routeurs ne transmettent les données aux appareils connectés que lorsqu’ils les ont précédemment demandées à un site Web, à un serveur de messagerie ou à une autre machine sur Internet. Lorsqu’une de ces machines essaie d’envoyer des données non sollicitées à un périphérique derrière le routeur, le routeur les supprime automatiquement. Cet arrangement n’est pas parfait, mais il fournit une défense vitale qui protège des milliards d’appareils.
Vanhoef a découvert comment exploiter les quatre vulnérabilités de manière à permettre à un attaquant, comme il l’a dit, de «percer un trou dans le pare-feu d’un routeur». Avec la possibilité de se connecter directement aux appareils derrière un pare-feu, un attaquant Internet peut alors leur envoyer du code ou des commandes malveillantes.
Dans une démo de la vidéo, Vanhoef exploite les vulnérabilités pour contrôler un appareil Internet des objets, en particulier pour allumer et éteindre à distance une prise de courant intelligente. Normalement, NAT empêcherait un périphérique en dehors du réseau d’interagir avec le socket à moins que le socket n’ait d’abord initié une connexion. Les exploits d’implémentation suppriment cette barrière.
Dans une démo distincte, Vanhoef montre comment les vulnérabilités permettent à un appareil sur Internet d’établir une connexion avec un ordinateur exécutant Windows 7, un système d’exploitation qui a cessé de recevoir des mises à jour de sécurité il y a des années. Le chercheur a utilisé cette capacité pour obtenir un contrôle complet sur le PC en lui envoyant un code malveillant exploitant une vulnérabilité critique appelée BlueKeep.
«Cela signifie que lorsqu’un point d’accès est vulnérable, il devient facile d’attaquer les clients!» A écrit Vanhoef. «Nous abusons donc des failles de mise en œuvre du Wi-Fi dans un point d’accès dans un premier temps pour attaquer ultérieurement (obsolète) clients. »
Obtenir votre solution
Bien que Vanhoef ait passé neuf mois à coordonner les correctifs avec plus d’une douzaine de fabricants de matériel et de logiciels, il n’est pas facile de déterminer quels appareils ou logiciels sont vulnérables à quelles vulnérabilités, et de ces produits vulnérables, lesquels ont été corrigés.
Cette page fournit le statut des produits de plusieurs sociétés. Une liste plus complète des avis connus est ici. D’autres avis sont disponibles individuellement auprès de leurs fournisseurs respectifs. Les vulnérabilités à rechercher sont:
Défauts de conception:
- CVE-2020-24588: attaque d’agrégation (acceptant les trames A-MSDU non SPP)
- CVE-2020-24587: attaque par clé mixte (réassemblage de fragments chiffrés sous différentes clés)
- CVE-2020-24586: attaque de cache de fragment (ne pas effacer les fragments de la mémoire lors de la (re) connexion à un réseau)
Vulnérabilités d’implémentation permettant l’injection de trames en clair:
- CVE-2020-26145: Accepter des fragments de diffusion en clair comme des trames complètes (dans un réseau chiffré)
- CVE-2020-26144: Accepter les trames A-MSDU en clair qui commencent par un en-tête RFC1042 avec EtherType EAPOL (dans un réseau chiffré)
- CVE-2020-26140: Accepter des trames de données en clair dans un réseau protégé
- CVE-2020-26143: Accepter des trames de données en clair fragmentées dans un réseau protégé
Autres défauts de mise en œuvre:
- CVE-2020-26139: Transférer les trames EAPOL même si l’expéditeur n’est pas encore authentifié (ne devrait affecter que les points d’accès)
- CVE-2020-26146: Réassembler des fragments chiffrés avec des numéros de paquet non consécutifs
- CVE-2020-26147: Réassemblage de fragments mixtes chiffrés / en clair
- CVE-2020-26142: Traitement des images fragmentées en images complètes
- CVE-2020-26141: Ne pas vérifier le TKIP MIC des trames fragmentées
Le moyen le plus efficace d’atténuer la menace posée par FragAttacks est d’installer toutes les mises à jour disponibles qui corrigent les vulnérabilités. Les utilisateurs devront le faire sur chaque ordinateur vulnérable, routeur ou autre appareil Internet des objets. Il est probable qu’un grand nombre d’appareils concernés ne recevront jamais de correctif.
La meilleure solution consiste à garantir que les sites Web utilisent toujours des connexions HTTPS. En effet, le chiffrement fourni par HTTPS réduit considérablement les dommages pouvant être causés lorsqu’un serveur DNS malveillant dirige une victime vers un faux site Web.
Les sites qui utilisent HTTP Strict Transport Security utiliseront toujours cette protection, mais Vanhoef a déclaré que seulement 20% environ du Web le faisait. Extensions de navigateur comme HTTPS partout étaient déjà une bonne idée, et l’atténuation qu’ils fournissent contre les FragAttacks les rend encore plus utiles.
Comme indiqué précédemment, FragAttacks ne sera probablement pas exploité contre la grande majorité des utilisateurs Wi-Fi, car les exploits nécessitent un haut degré de compétence ainsi que de proximité, c’est-à-dire entre 100 pieds et un demi-mile, selon l’équipement utilisé – à la cible. Les vulnérabilités constituent une menace plus élevée pour les réseaux utilisés par des cibles de grande valeur telles que les chaînes de vente au détail, les ambassades ou les réseaux d’entreprise où la sécurité est essentielle, et alors très probablement uniquement de concert avec d’autres exploits.
Lorsque des mises à jour seront disponibles, installez-les bien sûr, mais à moins que vous ne soyez dans ce dernier groupe, rappelez-vous que les téléchargements au volant et d’autres types d’attaques plus banales constitueront probablement une menace plus importante.
