À un moment donné, j'ai dû utiliser la solution proposée par le post ci-dessous, mais les étapes sur https://github.com/OpenSecurityResearch/hostapd-wpe ne fonctionnaient plus dans le kali moderne (2019v3). Quoi qu'il en soit, il est facile de les faire fonctionner. Vous devez simplement télécharger le hostapd-2.6 à partir d'ici : https://w1.fi/releases/ et avant de recompiler à nouveau hostapd-wpe, installez : apt-get install libssl1.0-dev

Analyse et exploitation de l'EAP-TLS dans les réseaux sans fil

Contexte : EAP-TLS dans les réseaux sans fil

EAP-TLS est un protocole de sécurité fournissant une authentification mutuelle entre le client et le serveur à l'aide de certificats. La connexion n'est établie que si le client et le serveur s'authentifient mutuellement à l'aide de leurs certificats.

Défi rencontré

Lors d'une évaluation, une erreur intéressante a été rencontrée lors de l'utilisation de l'outil hostapd-wpe. L'outil a rejeté la connexion du client en raison du certificat du client étant signé par une autorité de certification (CA) inconnue. Cela indiquait que le client ne faisait pas confiance au certificat du serveur factice, pointant vers des configurations de sécurité laxistes du côté du client.

Objectif : Configuration d'une attaque de l'homme du milieu (MiTM)

L'objectif était de modifier l'outil pour accepter n'importe quel certificat client. Cela permettrait d'établir une connexion avec le réseau sans fil malveillant et de permettre une attaque MiTM, capturant potentiellement des informations d'identification en clair ou d'autres données sensibles.

Solution : Modification de hostapd-wpe

L'analyse du code source de hostapd-wpe a révélé que la validation du certificat client était contrôlée par un paramètre (verify_peer) dans la fonction OpenSSL SSL_set_verify. En changeant la valeur de ce paramètre de 1 (valider) à 0 (ne pas valider), l'outil a été modifié pour accepter n'importe quel certificat client.

Exécution de l'attaque

1. Vérification de l'environnement : Utilisez airodump-ng pour surveiller les réseaux sans fil et identifier les cibles.

2. Mise en place d'un faux AP : Exécutez le hostapd-wpe modifié pour créer un faux point d'accès (AP) imitant le réseau cible.

3. Personnalisation du portail captif : Personnalisez la page de connexion du portail captif pour qu'elle paraisse légitime et familière à l'utilisateur ciblé.

4. Attaque de déconnexion : Facultativement, effectuez une attaque de déconnexion pour déconnecter le client du réseau légitime et le connecter au faux AP.

5. Capture des informations d'identification : Une fois que le client se connecte au faux AP et interagit avec le portail captif, ses informations d'identification sont capturées.

Observations de l'attaque

• Sur les machines Windows, le système peut se connecter automatiquement au faux AP, présentant le portail captif lorsqu'une navigation web est tentée.

• Sur un iPhone, l'utilisateur peut être invité à accepter un nouveau certificat, puis présenté avec le portail captif.

Conclusion

Bien que l'EAP-TLS soit considéré comme sécurisé, son efficacité dépend fortement de la configuration correcte et du comportement prudent des utilisateurs finaux. Des appareils mal configurés ou des utilisateurs crédules acceptant des certificats frauduleux peuvent compromettre la sécurité d'un réseau protégé par EAP-TLS.

Pour plus de détails, consultez https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/

Références

• https://versprite.com/blog/application-security/eap-tls-wireless-infrastructure/