Evil Twin EAP-TLS

Bug-Bounty-Tipp: Melden Sie sich an für Intigriti, eine Premium-**Bug-Bounty-Plattform, die von Hackern für Hacker erstellt wurde! Treten Sie uns bei https://go.intigriti.com/hacktricks heute bei und beginnen Sie, Prämien von bis zu 100.000 $ zu verdienen!

Register - IntigritiRegister - Intigriti

Irgendwann musste ich die vorgeschlagene Lösung aus dem unten stehenden Beitrag verwenden, aber die Schritte in https://github.com/OpenSecurityResearch/hostapd-wpe funktionierten nicht mehr in modernen Kali-Versionen (2019v3). Wie auch immer, es ist einfach, sie zum Laufen zu bringen. Sie müssen nur den hostapd-2.6 von hier herunterladen: https://w1.fi/releases/ und bevor Sie hostapd-wpe erneut kompilieren, installieren Sie: apt-get install libssl1.0-dev

Analyse und Ausnutzung von EAP-TLS in drahtlosen Netzwerken

Hintergrund: EAP-TLS in drahtlosen Netzwerken

EAP-TLS ist ein Sicherheitsprotokoll, das eine gegenseitige Authentifizierung zwischen Client und Server mithilfe von Zertifikaten bereitstellt. Die Verbindung wird nur hergestellt, wenn sowohl der Client als auch der Server die Zertifikate des anderen authentifizieren.

Herausforderung

Während einer Bewertung wurde ein interessanter Fehler festgestellt, als das Tool hostapd-wpe verwendet wurde. Das Tool lehnte die Verbindung des Clients ab, da das Zertifikat des Clients von einer unbekannten Zertifizierungsstelle (CA) signiert wurde. Dies deutete darauf hin, dass der Client dem gefälschten Serverzertifikat vertraute und auf nachlässige Sicherheitskonfigurationen auf der Clientseite hinwies.

Ziel: Ein Man-in-the-Middle (MiTM)-Angriff einrichten

Das Ziel war es, das Tool so zu ändern, dass es jedes Client-Zertifikat akzeptiert. Dadurch würde die Verbindung mit dem bösartigen drahtlosen Netzwerk hergestellt und ein MiTM-Angriff ermöglicht, bei dem potenziell Klartext-Anmeldeinformationen oder andere sensible Daten erfasst werden könnten.

Lösung: Modifizierung von hostapd-wpe

Die Analyse des Quellcodes von hostapd-wpe ergab, dass die Validierung des Client-Zertifikats von einem Parameter (verify_peer) in der OpenSSL-Funktion SSL_set_verify gesteuert wurde. Durch Ändern des Werts dieses Parameters von 1 (validieren) auf 0 (nicht validieren) wurde das Tool so modifiziert, dass es jedes Client-Zertifikat akzeptiert.

Ausführung des Angriffs

1. Umgebungsprüfung: Verwenden Sie airodump-ng, um drahtlose Netzwerke zu überwachen und Ziele zu identifizieren.

2. Falschen AP einrichten: Führen Sie das modifizierte hostapd-wpe aus, um einen gefälschten Access Point (AP) zu erstellen, der das Zielnetzwerk imitiert.

3. Anpassung des Captive Portals: Passen Sie die Login-Seite des Captive Portals an, um für den Zielbenutzer legitim und vertraut zu erscheinen.

4. Deauthentifizierungsangriff: Optional kann ein Deauthentifizierungsangriff durchgeführt werden, um den Client vom legitimen Netzwerk zu trennen und mit dem gefälschten AP zu verbinden.

5. Erfassung von Anmeldeinformationen: Sobald der Client eine Verbindung zum gefälschten AP herstellt und mit dem Captive Portal interagiert, werden seine Anmeldeinformationen erfasst.

Beobachtungen aus dem Angriff

• Auf Windows-Maschinen kann das System automatisch eine Verbindung zum gefälschten AP herstellen und das Captive Portal anzeigen, wenn versucht wird, im Web zu navigieren.

• Auf einem iPhone wird der Benutzer möglicherweise aufgefordert, ein neues Zertifikat zu akzeptieren und dann mit dem Captive Portal konfrontiert.

Fazit

Obwohl EAP-TLS als sicher gilt, hängt seine Wirksamkeit stark von der korrekten Konfiguration und dem vorsichtigen Verhalten der Endbenutzer ab. Fehlkonfigurierte Geräte oder arglose Benutzer, die Rogue-Zertifikate akzeptieren, können die Sicherheit eines durch EAP-TLS geschützten Netzwerks untergraben.

Für weitere Details siehe https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/

Referenzen

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/

Register - IntigritiRegister - Intigriti