Evil Twin EAP-TLS

Reading time: 3 minutes

В якийсь момент мені потрібно було використати запропоноване рішення з посту нижче, але кроки в https://github.com/OpenSecurityResearch/hostapd-wpe більше не працювали в сучасному kali (2019v3).
В будь-якому випадку, їх легко змусити працювати.
Вам потрібно лише завантажити hostapd-2.6 звідси: https://w1.fi/releases/ і перед повторною компіляцією hostapd-wpe встановити: apt-get install libssl1.0-dev

Analyzing and Exploiting EAP-TLS in Wireless Networks

Background: EAP-TLS in Wireless Networks

EAP-TLS є протоколом безпеки, що забезпечує взаємну аутентифікацію між клієнтом і сервером за допомогою сертифікатів. З'єднання встановлюється лише в тому випадку, якщо як клієнт, так і сервер аутентифікують сертифікати один одного.

Challenge Encountered

Під час оцінки було виявлено цікаву помилку при використанні інструменту hostapd-wpe. Інструмент відхилив з'єднання клієнта через те, що сертифікат клієнта був підписаний невідомим центром сертифікації (CA). Це вказувало на те, що клієнт дійсно довіряв сертифікату фальшивого сервера, що свідчить про ненадійні конфігурації безпеки на стороні клієнта.

Objective: Setting Up a Man-in-the-Middle (MiTM) Attack

Метою було модифікувати інструмент, щоб він приймав будь-який сертифікат клієнта. Це дозволило б встановити з'єднання з шкідливою бездротовою мережею та здійснити атаку MiTM, потенційно захоплюючи відкриті облікові дані або інші чутливі дані.

Solution: Modifying hostapd-wpe

Аналіз вихідного коду hostapd-wpe виявив, що валідація сертифіката клієнта контролюється параметром (verify_peer) у функції OpenSSL SSL_set_verify. Змінивши значення цього параметра з 1 (валідувати) на 0 (не валідувати), інструмент був змушений приймати будь-який сертифікат клієнта.

Execution of the Attack

1. Environment Check: Використовуйте airodump-ng для моніторингу бездротових мереж і виявлення цілей.
2. Set Up Fake AP: Запустіть модифікований hostapd-wpe, щоб створити фальшиву точку доступу (AP), що імітує цільову мережу.
3. Captive Portal Customization: Налаштуйте сторінку входу в каптивний портал, щоб вона виглядала легітимною та знайомою для цільового користувача.
4. De-authentication Attack: За бажанням, виконайте атаку de-auth, щоб відключити клієнта від легітимної мережі та підключити його до фальшивого AP.
5. Capturing Credentials: Як тільки клієнт підключається до фальшивого AP і взаємодіє з каптивним порталом, їхні облікові дані захоплюються.

Observations from the Attack

• На комп'ютерах з Windows система може автоматично підключатися до фальшивого AP, представляючи каптивний портал, коли намагаються здійснити веб-навігацію.
• На iPhone користувач може отримати запит на прийняття нового сертифіката, а потім йому буде представлений каптивний портал.

Conclusion

Хоча EAP-TLS вважається безпечним, його ефективність сильно залежить від правильної конфігурації та обережної поведінки кінцевих користувачів. Неправильно налаштовані пристрої або нічого не підозрюючі користувачі, які приймають підроблені сертифікати, можуть підірвати безпеку мережі, захищеної EAP-TLS.

Для отримання додаткових деталей перевірте https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/

References

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/