Noticias

KRACK incluye devastadores ataques que han puesto en jaque al protocolo WPA2

Publicado

en

Un equipo de investigadores en seguridad ha hallado importantes debilidades en el protocolo WPA2, utilizado para proteger la seguridad de todas las redes Wi-Fi modernas. Todo apunta a que este problema puede tener consecuencias catastróficas y difícil arreglo.

Los atacantes que están dentro del rango de la víctima pueden explotar las debilidades de WPA2 utilizando ataques de reinstalación de clave, los cuales han recibido como nombre el acrónimo de KRACK (Key Reinstallation Attacks). A través de su ejecución los atacantes pueden leer toda la información que presuntamente va cifrada mediante el protocolo WPA2, abarcando números de tarjetas de crédito, contraseñas, mensajes de chat, emails, fotografías y, en definitiva, cualquier dato que pase por la red Wi-Fi. Además, dependiendo de la configuración de la red, también se podría abrir la puerta a la manipulación de los datos transmitidos, pudiendo el atacante colar un ransomware en el ordenador de la víctima o bien manipular el contenido de las páginas web visitadas para introducir malware en ellas.

Al afectar al protocolo WPA2 se abre la posibilidad de atacar cualquier dispositivo que lo utilice como cliente, abarcando OpenBSD, Windows, macOS e iOS, aunque los más afectados son aparentemente Android y Linux. De momento parece que los ataques no pueden llevarse a cabo contra los puntos de acceso.

Un investigador ha realizado una demostración de KRACK en las conferencias CCS y Black Hat Europe. En la prueba de concepto que ha aportado mostró la ejecución de uno de los ataques contra un smartphone Android. De hecho sobre Android y Linux KRACK resulta especialmente devastador, ya que esos sistemas pueden ser engañados para reinstalar una clave de cifrado totalmente a cero. En el resto de dispositivos resulta más difícil descifrar todos los paquetes transmitidos, aunque sí es posible en un gran porcentaje.

Los detalles clave de KRACK

El principal ataque utilizado por los investigadores ha sido contra el handshake de 4 vías utilizado por el protocolo WPA2, que es ejecutado cuando un cliente quiere unirse a una red Wi-Fi protegida. Este mecanismo se usa para confirmar que tanto el cliente como el punto de acceso Wi-Fi poseen los credenciales correctos. Por otro lado, también se encarga de negociar la clave para cifrar el tráfico producido mediante la Wi-Fi.

El handshake de 4 vías es empleado en todas las redes Wi-Fi modernas. El ataque funciona sobre las dos versiones de WPA e incluso aquellas que solo emplean AES para cifrar. Cuando un cliente se une a una red inalámbrica, ejecuta el handshake de 4 vías para negociar la clave de cifrado, la cual se instalará tras recibir el tercer mensaje. Una vez instalada la clave, esta será usada para cifrar los datos mediante un protocolo. Sin embargo, debido a que los mensajes pueden perderse, el punto de acceso retransmite el tercero en caso de no recibir una respuesta apropiada de su llegada por parte del cliente, abriendo la posibilidad de retransmitirlo varias veces. Cada vez que se recibe este mensaje se reinstalará la misma clave de cifrado, por lo tanto se reinicia el número incremental de paquete transmitido (nonce) y se recibe un contador de repetición utilizado por el protocolo de cifrado.

Un atacante podría forzar reinicios de nonce mediante la recolección y reproducción de la retransmisión del mensaje 3, pudiendo así atacar el mismo protocolo de cifrado para reproducir los paquetes, descifrados e incluso falsificados. Por otro lado, existen otras vías (PeerKey, TDLS y Fast BSS) para explotar las debilidades halladas en WPA2, formando el conjunto de ataques una nueva técnica que ha recibido el nombre de KRACK.

En resumidas cuentas, KRACK requiere que el atacante engañe a la víctima para que reinstale una clave que ya se está usando. Esto se consigue mediante la manipulación y reproducción de los manejes criptográficos del handshake. Cuando la víctima reinstala la clave, los parámetros asociados al número de paquete de transmisión incremental y el número de paquete recibido son reiniciados a su valor inicial. En teoría la clave tendría que ser instalada y usada solo una vez, pero los investigadores han descubierto que WPA2 no garantiza que ese mecanismo funcione de esa manera, haciendo posible la manipulación de las comunicaciones criptográficas.

La capacidad de descifrar los paquetes se puede utilizar para obtener los TCP SYN. Esto permite que un atacante obtenga los números de secuencia TCP de una conexión con el fin de secuestrarlas. Como resultado, el atacante puede llevar a cabo uno de los ataques más comunes contra las redes Wi-Fi, la inyección de datos maliciosos en las conexiones HTTP no cifradas, y todo esto sobre el más que extendido WPA2.

Utilizar el protocolo de cifrado WPA-TKIP o GCMP es incluso peor que AES-CCMP, ya que el tercero solo pone facilidades para descifrar los paquetes, mientras que los dos primeros también permiten la inyección y falsificación de paquetes. Al usar GCMP la misma clave de cifrado en ambas direcciones de la comunicación, esta puede ser recuperada si los nonces son reutilizados. Por otro lado, esta tecnología se está extendiendo bajo el nombre de Wireless Gigabit (WiGig), esperándose una gran expansión en los próximos años.

Estos son los códigos identificadores CVE asignados a las distintas tecnologías que han podido ser explotadas para llevar a cabo KRACK: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 y CVE-2017-13088.

¿Por qué Android y Linux son los sistemas más afectados?

El principal ataque llevado a cabo por los investigadores tiene catastróficas consecuencias en wpa_supplicant 2.4 y versiones posteriores, siendo este componente de software el más usado como cliente de Wi-Fi en Linux.

Mediante el ataque se puede hacer que el cliente instale una clave de cifrado todo a cero en lugar de reinstalar la real. La vulnerabilidad parece estar causada por una indicación en el estándar Wi-Fi que sugiere limpiar la clave de cifrado de la memoria una vez haya sido instalada por primera vez. Cuando el cliente recibe el mensaje 3 retransmitido mediante el handshake de 4 vías, se hará efectiva la instalación de la clave todo a cero.

Los investigadores han descubierto que Android 6 Marshmallow y posteriores son vulnerables a KRACK y que el 41% de todos los smartphones Android en funcionamiento son vulnerables a uno de los ataques más devastadores que han sido capaces de ejecutar.

¿Qué hacer para evitar ser atacado mediante KRACK?

Según informan nuestros compañeros de MuyComputer, los investigadores dicen que la prioridad es “la actualización de los equipos cliente, tales como ordenadores portátiles y teléfonos inteligentes.”

Otras cosas que se pueden hacer es desactivar las funcionalidades de cliente de los routers y puntos de acceso, como el modo repetidor y el 802.11r “roaming rápido”. Actualizar el firmware del router o el punto de acceso sería una buena medida aunque no definitiva, la cual puede ser combinada con la ocultación del SSID, la desactivación del acceso remoto, la activación de los filtros mediante Mac, etc. Es muy importante tener en cuenta que cambiar la contraseña de la Wi-Fi no protege de KRACK, aunque eso no quita la utilización de una robusta para reforzar la seguridad.

Lo que conocemos hasta ahora de KRACK podría ser solo la punta del iceberg, ya que estamos hablando de unas deficiencias a nivel de seguridad que afectan a uno de los protocolos más utilizados del mundo, impactando en miles de millones de dispositivos.

La Wi-Fi Alliance está probando los distintos ataques en un laboratorio y se espera dentro de poco la liberación de una herramienta que sirva para detectar dispositivos clientes vulnerables.

Lo más leído

Salir de la versión móvil