Evil Twin EAP-TLS

Reading time: 4 minutes

À un moment donné, j'ai eu besoin d'utiliser la solution proposée par le post ci-dessous, mais les étapes dans https://github.com/OpenSecurityResearch/hostapd-wpe ne fonctionnaient plus sur Kali moderne (2019v3).
Quoi qu'il en soit, il est facile de les faire fonctionner.
Vous devez simplement télécharger le hostapd-2.6 ici : https://w1.fi/releases/ et avant de recompiler à nouveau hostapd-wpe, installez : apt-get install libssl1.0-dev

Analyser et exploiter EAP-TLS dans les réseaux sans fil

Contexte : EAP-TLS dans les réseaux sans fil

EAP-TLS est un protocole de sécurité fournissant une authentification mutuelle entre le client et le serveur à l'aide de certificats. La connexion n'est établie que si le client et le serveur authentifient les certificats de l'autre.

Défi rencontré

Lors d'une évaluation, une erreur intéressante a été rencontrée lors de l'utilisation de l'outil hostapd-wpe. L'outil a rejeté la connexion du client en raison du certificat du client étant signé par une Autorité de Certification (CA) inconnue. Cela indiquait que le client ne faisait pas confiance au certificat du faux serveur, pointant vers des configurations de sécurité laxistes du côté du client.

Objectif : Mettre en place une attaque de l'homme du milieu (MiTM)

L'objectif était de modifier l'outil pour accepter n'importe quel certificat client. Cela permettrait d'établir une connexion avec le réseau sans fil malveillant et d'activer une attaque MiTM, capturant potentiellement des identifiants en clair ou d'autres données sensibles.

Solution : Modification de hostapd-wpe

L'analyse du code source de hostapd-wpe a révélé que la validation du certificat client était contrôlée par un paramètre (verify_peer) dans la fonction OpenSSL SSL_set_verify. En changeant la valeur de ce paramètre de 1 (valider) à 0 (ne pas valider), l'outil a été modifié pour accepter n'importe quel certificat client.

Exécution de l'attaque

1. Vérification de l'environnement : Utilisez airodump-ng pour surveiller les réseaux sans fil et identifier les cibles.
2. Configurer un faux AP : Exécutez le hostapd-wpe modifié pour créer un faux Point d'Accès (AP) imitant le réseau cible.
3. Personnalisation du portail captif : Personnalisez la page de connexion du portail captif pour qu'elle apparaisse légitime et familière pour l'utilisateur cible.
4. Attaque de désauthentification : Optionnellement, effectuez une attaque de désauthentification pour déconnecter le client du réseau légitime et le connecter au faux AP.
5. Capture des identifiants : Une fois que le client se connecte au faux AP et interagit avec le portail captif, ses identifiants sont capturés.

Observations de l'attaque

• Sur les machines Windows, le système peut se connecter automatiquement au faux AP, présentant le portail captif lorsque la navigation web est tentée.
• Sur un iPhone, l'utilisateur peut être invité à accepter un nouveau certificat, puis présenté avec le portail captif.

Conclusion

Bien que EAP-TLS soit considéré comme sécurisé, son efficacité dépend fortement de la configuration correcte et du comportement prudent des utilisateurs finaux. Des appareils mal configurés ou des utilisateurs sans méfiance acceptant des certificats indésirables peuvent compromettre la sécurité d'un réseau protégé par EAP-TLS.

Pour plus de détails, consultez https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/

Références

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/