Evil Twin EAP-TLS

バグバウンティのヒント: ハッカーによって、ハッカーのために作られたプレミアムバグバウンティプラットフォームであるIntigritiにサインアップしてください！今日、https://go.intigriti.com/hacktricksに参加し、最大$100,000**のバウンティを獲得し始めましょう！

ある時、以下の投稿で提案された解決策を使用する必要がありましたが、https://github.com/OpenSecurityResearch/hostapd-wpeの手順は、最新のKali（2019v3）では機能しなくなっていました。 それでも、これらを機能させるのは簡単です。 ここからhostapd-2.6をダウンロードするだけです: https://w1.fi/releases/ そして、再度hostapd-wpeをコンパイルする前に、次のコマンドを実行します: apt-get install libssl1.0-dev

無線ネットワークにおけるEAP-TLSの分析と悪用

背景: 無線ネットワークにおけるEAP-TLS

EAP-TLSは、クライアントとサーバー間で相互認証を提供するセキュリティプロトコルです。接続は、クライアントとサーバーの両方が互いの証明書を認証した場合にのみ確立されます。

遭遇した課題

評価中に、hostapd-wpeツールを使用しているときに興味深いエラーが発生しました。このツールは、クライアントの証明書が不明な認証局（CA）によって署名されているため、クライアントの接続を拒否しました。これは、クライアントが偽のサーバーの証明書を信頼していることを示しており、クライアント側のセキュリティ設定が緩いことを示唆しています。

目的: 中間者攻撃（MiTM）の設定

目的は、ツールを修正して任意のクライアント証明書を受け入れることでした。これにより、悪意のある無線ネットワークとの接続が確立され、MiTM攻撃が可能になり、平文の認証情報やその他の機密データを捕捉できるようになります。

解決策: hostapd-wpeの修正

hostapd-wpeのソースコードの分析により、クライアント証明書の検証がOpenSSL関数SSL_set_verifyのパラメータ（verify_peer）によって制御されていることが明らかになりました。このパラメータの値を1（検証する）から0（検証しない）に変更することで、ツールは任意のクライアント証明書を受け入れるようになりました。

攻撃の実行

1. 環境チェック: airodump-ngを使用して無線ネットワークを監視し、ターゲットを特定します。

2. 偽APの設定: 修正されたhostapd-wpeを実行して、ターゲットネットワークを模倣する偽のアクセスポイント（AP）を作成します。

3. キャプティブポータルのカスタマイズ: キャプティブポータルのログインページをターゲットユーザーにとって信頼できるものに見えるようにカスタマイズします。

4. デオーセンティケーション攻撃: オプションで、クライアントを正当なネットワークから切断し、偽APに接続させるためにデオーセンティケーション攻撃を実行します。

5. 認証情報の捕捉: クライアントが偽APに接続し、キャプティブポータルと対話すると、その認証情報が捕捉されます。

攻撃からの観察

• Windowsマシンでは、システムが自動的に偽APに接続し、ウェブナビゲーションを試みるとキャプティブポータルが表示されることがあります。

• iPhoneでは、ユーザーが新しい証明書を受け入れるように求められ、その後キャプティブポータルが表示されることがあります。

結論

EAP-TLSは安全と見なされていますが、その効果は正しい設定とエンドユーザーの慎重な行動に大きく依存します。設定ミスのあるデバイスや、悪意のある証明書を受け入れる無防備なユーザーは、EAP-TLSで保護されたネットワークのセキュリティを損なう可能性があります。

詳細については、https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/を確認してください。

参考文献

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/