Irgendwann musste ich die vorgeschlagene Lösung im folgenden Beitrag verwenden, aber die Schritte in https://github.com/OpenSecurityResearch/hostapd-wpe funktionierten nicht mehr in modernem Kali (2019v3). Wie auch immer, es ist einfach, sie zum Laufen zu bringen. Sie müssen nur den hostapd-2.6 von hier herunterladen: https://w1.fi/releases/ und vor der erneuten Kompilierung von hostapd-wpe installieren: apt-get install libssl1.0-dev

Analyse und Ausnutzung von EAP-TLS in drahtlosen Netzwerken

Hintergrund: EAP-TLS in drahtlosen Netzwerken

EAP-TLS ist ein Sicherheitsprotokoll, das eine gegenseitige Authentifizierung zwischen Client und Server mithilfe von Zertifikaten ermöglicht. Die Verbindung wird nur hergestellt, wenn sowohl der Client als auch der Server die Zertifikate des jeweils anderen authentifizieren.

Herausforderung

Während einer Bewertung wurde ein interessanter Fehler festgestellt, als das Tool hostapd-wpe verwendet wurde. Das Tool lehnte die Verbindung des Clients ab, da das Zertifikat des Clients von einer unbekannten Zertifizierungsstelle (CA) signiert wurde. Dies deutete darauf hin, dass der Client dem gefälschten Serverzertifikat vertraute und auf eine nachlässige Sicherheitskonfiguration auf der Clientseite hinwies.

Ziel: Ein Man-in-the-Middle (MiTM)-Angriff einrichten

Das Ziel bestand darin, das Tool so zu ändern, dass es jedes Clientzertifikat akzeptiert. Dadurch konnte eine Verbindung mit dem bösartigen drahtlosen Netzwerk hergestellt und ein MiTM-Angriff ermöglicht werden, bei dem möglicherweise Klartext-Anmeldeinformationen oder andere sensible Daten erfasst werden.

Lösung: Modifizierung von hostapd-wpe

Die Analyse des Quellcodes von hostapd-wpe ergab, dass die Validierung des Clientzertifikats von einem Parameter (verify_peer) in der OpenSSL-Funktion SSL_set_verify gesteuert wurde. Durch Ändern des Werts dieses Parameters von 1 (validieren) auf 0 (nicht validieren) wurde das Tool dazu gebracht, jedes Clientzertifikat zu akzeptieren.

Ausführung des Angriffs

1. Überprüfung der Umgebung: Verwenden Sie airodump-ng, um drahtlose Netzwerke zu überwachen und Ziele zu identifizieren.

2. Einrichten eines gefälschten AP: Führen Sie das modifizierte hostapd-wpe aus, um einen gefälschten Access Point (AP) zu erstellen, der das Zielnetzwerk imitiert.

3. Anpassung des Captive Portals: Passen Sie die Anmeldeseite des Captive Portals an, um für den Zielbenutzer legitim und vertraut auszusehen.

4. Deauthentifizierungsangriff: Optional kann ein Deauthentifizierungsangriff durchgeführt werden, um den Client von dem legitimen Netzwerk zu trennen und mit dem gefälschten AP zu verbinden.

5. Erfassung von Anmeldeinformationen: Sobald der Client eine Verbindung zum gefälschten AP herstellt und mit dem Captive Portal interagiert, werden seine Anmeldeinformationen erfasst.

Beobachtungen aus dem Angriff

• Auf Windows-Maschinen kann das System automatisch eine Verbindung zum gefälschten AP herstellen und das Captive Portal anzeigen, wenn eine Webnavigation versucht wird.

• Auf einem iPhone wird der Benutzer möglicherweise aufgefordert, ein neues Zertifikat zu akzeptieren und dann das Captive Portal anzuzeigen.

Fazit

Obwohl EAP-TLS als sicher gilt, hängt seine Wirksamkeit stark von der korrekten Konfiguration und dem vorsichtigen Verhalten der Endbenutzer ab. Falsch konfigurierte Geräte oder arglose Benutzer, die gefälschte Zertifikate akzeptieren, können die Sicherheit eines durch EAP-TLS geschützten Netzwerks untergraben.

Weitere Informationen finden Sie unter https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/

Referenzen

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/