Evil Twin EAP-TLS

Reading time: 6 minutes

ある時、以下の投稿で提案された解決策を使用する必要がありましたが、https://github.com/OpenSecurityResearch/hostapd-wpeの手順が最新のkali (2019v3)では機能しなくなっていました。
とはいえ、これらを機能させるのは簡単です。
ここからhostapd-2.6をダウンロードするだけで、hostapd-wpeを再コンパイルする前に: apt-get install libssl1.0-devをインストールする必要があります。

Analyzing and Exploiting EAP-TLS in Wireless Networks

Background: EAP-TLS in Wireless Networks

EAP-TLSは、クライアントとサーバー間で相互認証を提供するセキュリティプロトコルです。接続は、クライアントとサーバーが互いの証明書を認証した場合にのみ確立されます。

Challenge Encountered

評価中に、hostapd-wpeツールを使用しているときに興味深いエラーが発生しました。このツールは、クライアントの証明書が未知の認証局（CA）によって署名されているため、クライアントの接続を拒否しました。これは、クライアントが偽のサーバーの証明書を信頼していることを示しており、クライアント側のセキュリティ設定が緩いことを示唆しています。

Objective: Setting Up a Man-in-the-Middle (MiTM) Attack

目的は、ツールを修正して任意のクライアント証明書を受け入れることでした。これにより、悪意のある無線ネットワークとの接続を確立し、MiTM攻撃を可能にし、平文の認証情報やその他の機密データを捕捉できるようになります。

Solution: Modifying hostapd-wpe

hostapd-wpeのソースコードの分析により、クライアント証明書の検証がOpenSSL関数SSL_set_verifyのパラメータ（verify_peer）によって制御されていることが明らかになりました。このパラメータの値を1（検証）から0（検証しない）に変更することで、ツールは任意のクライアント証明書を受け入れるようになりました。

Execution of the Attack

1. Environment Check: airodump-ngを使用して無線ネットワークを監視し、ターゲットを特定します。
2. Set Up Fake AP: 修正されたhostapd-wpeを実行して、ターゲットネットワークを模倣する偽のアクセスポイント（AP）を作成します。
3. Captive Portal Customization: 捕捉ポータルのログインページをカスタマイズして、ターゲットユーザーにとって信頼できるものに見せます。
4. De-authentication Attack: オプションで、クライアントを正当なネットワークから切断し、偽のAPに接続させるためにデオーセンティケーション攻撃を実行します。
5. Capturing Credentials: クライアントが偽のAPに接続し、捕捉ポータルと対話すると、その認証情報が捕捉されます。

Observations from the Attack

• Windowsマシンでは、システムが自動的に偽のAPに接続し、ウェブナビゲーションを試みると捕捉ポータルが表示されることがあります。
• iPhoneでは、ユーザーが新しい証明書を受け入れるように求められ、その後捕捉ポータルが表示されることがあります。

Conclusion

EAP-TLSは安全と見なされていますが、その効果は正しい設定とエンドユーザーの慎重な行動に大きく依存します。誤って設定されたデバイスや、悪意のある証明書を受け入れる無防備なユーザーは、EAP-TLSで保護されたネットワークのセキュリティを損なう可能性があります。

For further details check https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/

References

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/