Les vulnérabilités de milliards d'appareils Wi-Fi permettent aux pirates de contourner les pare-feu

Agrandir

Mathy Vanhoef

commentaires des lecteurs

89

avec 59 affiches participantes

Partagez cette histoire

Partager sur Facebook

Partager sur Twitter

Partager sur Reddit

L'une des choses qui font fonctionner le Wi-Fi est sa capacité à diviser de gros morceaux de données en morceaux plus petits et à combiner de plus petits morceaux en plus gros morceaux, en fonction des besoins du réseau à un moment donné. Il s'avère que ces fonctionnalités de plomberie réseau banales recèlent des vulnérabilités qui peuvent être exploitées pour envoyer des utilisateurs vers des sites Web malveillants ou exploiter ou falsifier des appareils connectés au réseau, selon une étude récemment publiée.

Au total, le chercheur Mathy Vanhoef a découvert une douzaine de vulnérabilités, soit dans la spécification Wi-Fi, soit dans la manière dont la spécification a été implémentée dans un grand nombre d'appareils. Vanhoef a surnommé les vulnérabilités

FragAttacks

, abréviation d'attaques de fragmentation et d'agrégation, car elles impliquent toutes une fragmentation ou une agrégation de trames. D'une manière générale, ils permettent aux personnes à portée radio d'injecter les trames de leur choix dans des réseaux protégés par un cryptage WPA.

Mauvaises nouvelles

Lectures complémentaires

Une faille sérieuse dans le protocole WPA2 permet aux attaquants d'intercepter les mots de passe et bien plus encore

Évaluer l'impact des vulnérabilités n'est pas simple. Les FragAttacks permettent d'injecter des données dans le trafic Wi-Fi, mais ils ne permettent pas d'exfiltrer quoi que ce soit. Cela signifie que FragAttacks ne peut pas être utilisé pour lire des mots de passe ou d'autres informations sensibles comme une précédente attaque Wi-Fi de Vanhoef, appelée

Krack

, fait. Mais il s'avère que les vulnérabilités, dont certaines font partie du Wi-Fi depuis sa sortie en 1997, peuvent être exploitées pour infliger d'autres types de dommages, en particulier si elles sont associées à d'autres types de piratage.

"Ce n'est jamais bon d'avoir quelqu'un capable de déposer des paquets sur votre réseau ou de cibler vos appareils sur le réseau", a écrit Mike Kershaw, expert en sécurité Wi-Fi et développeur du renifleur sans fil open source Kismet et de l'IDS, dans un e-mail. « À certains égards, ce n'est pas pire que d'utiliser un point d'accès non crypté dans un café - quelqu'un peut vous faire la même chose là-bas, de manière triviale - mais parce qu'ils peuvent se produire sur des réseaux que vous penseriez autrement sûrs et qui auraient pu être configurés comme un réseau de confiance, c'est certainement une mauvaise nouvelle.

Il a ajouté: «Dans l'ensemble, je pense qu'ils donnent à quelqu'un qui visait déjà une attaque contre un individu ou une entreprise une emprise qu'ils n'auraient pas eue auparavant, ce qui a certainement un impact, mais ne pose probablement pas un risque aussi énorme que la conduite. par des attaques à la personne moyenne.

Bien que les failles aient été divulguées la semaine dernière dans le cadre d'un effort de neuf mois à l'échelle de l'industrie, il reste difficile de savoir dans de nombreux cas quels appareils étaient vulnérables à quelles vulnérabilités et quelles vulnérabilités, le cas échéant, ont reçu des mises à jour de sécurité. Il est presque certain que de nombreux appareils compatibles Wi-Fi ne seront jamais réparés.

Injection DNS malveillante

L'une des vulnérabilités les plus graves de la suite FragAttacks réside dans la spécification Wi-Fi elle-même. Traquée sous le nom de CVE-2020-24588, la faille peut être exploitée d'une manière qui oblige les appareils Wi-Fi à utiliser un serveur DNS malveillant, qui à son tour peut diriger les utilisateurs vers des sites Web malveillants plutôt que ceux qu'ils souhaitaient. À partir de là, les pirates peuvent lire et modifier tout trafic non crypté. Les serveurs DNS malveillants permettent également aux pirates d'effectuer

Attaques de reliure DNS

, dans lequel des sites Web malveillants manipulent un navigateur pour attaquer d'autres appareils connectés au même réseau.

Le serveur DNS malveillant est introduit lorsqu'un attaquant injecte un

Annonce du routeur ICMPv6

dans le trafic Wi-Fi. Les routeurs émettent généralement ces annonces afin que d'autres périphériques du réseau puissent les localiser. La publicité injectée demande à tous les appareils d'utiliser un DNS spécifié par l'attaquant pour les recherches d'adresses IPv6 et IPv4.

Publicité

Un exploit présenté dans une vidéo publiée par Vanhoef montre que l'attaquant attire la cible vers un site Web qui cache la publicité du routeur dans une image.

FragAttacks : Démonstration de défauts dans WPA2/3.

Voici un aperçu visuel :

Agrandir

Mathy Vanhoef

Dans un e-mail, Vanhoef a expliqué : « L'annonce du routeur IPv6 est placée dans la charge utile (c'est-à-dire la partie données) du paquet TCP. Ces données sont par défaut transmises à l'application qui a créé la connexion TCP. Dans la démo, ce serait le navigateur, qui attend une image. Cela signifie que par défaut, le client ne traitera pas l'annonce du routeur IPv6 mais traitera à la place la charge utile TCP en tant que données d'application.

Vanhoef a déclaré qu'il est possible d'effectuer l'attaque sans interaction de l'utilisateur lorsque le point d'accès de la cible est vulnérable à

CVE-2021-26139

, l'une des 12 vulnérabilités qui composent le package FragAttacks. La faille de sécurité provient d'une faille du noyau dans NetBSD 7.1 qui provoque le transfert des points d'accès Wi-Fi

Protocole d'authentification extensible (AP) sur LAN

des trames vers d'autres appareils même lorsque l'expéditeur ne s'est pas encore authentifié auprès du point d'accès.

Il est prudent d'avancer, mais pour ceux qui sont curieux de connaître le bogue logiciel spécifique et la raison pour laquelle la démo vidéo utilise une image malveillante, Vanhoef a expliqué :

Percer un trou dans le pare-feu

Quatre des 12 vulnérabilités qui composent les FragAttacks sont des défauts d'implémentation, ce qui signifie qu'elles proviennent de bogues que les développeurs de logiciels ont introduits lors de l'écriture de code basé sur la spécification Wi-Fi. Un attaquant peut les exploiter contre des points d'accès pour contourner un avantage de sécurité clé qu'ils offrent.

En plus de permettre à plusieurs appareils de partager une seule connexion Internet, les routeurs empêchent le trafic entrant d'atteindre les appareils connectés à moins que les appareils ne l'aient demandé. Ce pare-feu fonctionne à l'aide de la traduction d'adresses réseau, ou NAT, qui mappe les adresses IP privées que le point d'accès attribue à chaque périphérique du réseau local à une seule adresse IP que le point d'accès utilise pour envoyer des données sur Internet.

Publicité

Le résultat est que les routeurs transmettent les données aux appareils connectés uniquement lorsqu'ils les ont préalablement demandées à partir d'un site Web, d'un serveur de messagerie ou d'une autre machine sur Internet. Lorsqu'une de ces machines essaie d'envoyer des données non sollicitées à un périphérique derrière le routeur, le routeur les rejette automatiquement. Cette disposition

n'est pas parfait

, mais il fournit une défense vitale qui protège des milliards d'appareils.

Vanhoef a découvert comment exploiter les quatre vulnérabilités d'une manière qui permet à un attaquant de, comme il l'a dit, "percer un trou dans le pare-feu d'un routeur". Avec la possibilité de se connecter directement aux appareils derrière un pare-feu, un attaquant Internet peut alors leur envoyer du code ou des commandes malveillantes.

Dans une démo de la vidéo, Vanhoef exploite les vulnérabilités pour contrôler un appareil Internet des objets, en particulier pour allumer et éteindre à distance une prise de courant intelligente. Normalement, NAT empêcherait un périphérique en dehors du réseau d'interagir avec le socket à moins que le socket n'ait d'abord initié une connexion. Les exploits d'implémentation suppriment cette barrière.

Lectures complémentaires

Microsoft supplie pratiquement les utilisateurs de Windows de corriger la faille wormable BlueKeep

Dans une démonstration distincte, Vanhoef montre comment les vulnérabilités permettent à un appareil sur Internet d'établir une connexion avec un ordinateur exécutant Windows 7, un système d'exploitation qui a cessé de recevoir des mises à jour de sécurité il y a des années. Le chercheur a utilisé cette capacité pour prendre le contrôle total du PC en lui envoyant un code malveillant qui exploitait un

vulnérabilité critique appelée BlueKeep

.

« Cela signifie que lorsqu'un point d'accès est vulnérable, il devient facile d'attaquer les clients ! » Vanhoef a écrit. « Nous abusons donc des défauts de mise en œuvre du Wi-Fi dans un

point d'accès

dans un premier temps pour attaquer par la suite (obsolète)

clients

. "

Obtenir votre correctif

Bien que Vanhoef ait passé neuf mois à coordonner les correctifs avec plus d'une douzaine de fabricants de matériel et de logiciels, il n'est pas facile de déterminer quels appareils ou logiciels sont vulnérables à quelles vulnérabilités, et de ces produits vulnérables, lesquels ont reçu des correctifs.

Cette page

fournit le statut pour les produits de plusieurs sociétés. Une liste plus complète des avis connus est

ici

. D'autres avis sont disponibles individuellement auprès de leurs fournisseurs respectifs. Les vulnérabilités à rechercher sont :

Défauts de conception :

CVE-2020-24588

: attaque par agrégation (accepte les trames A-MSDU non SPP)

CVE-2020-24587

: attaque à clé mixte (rassemblement de fragments chiffrés sous différentes clés)

CVE-2020-24586

: attaque de cache de fragments (ne pas effacer les fragments de la mémoire lors de la (re)connexion à un réseau)

Vulnérabilités d'implémentation permettant l'injection de trames en clair :

CVE-2020-26145

: Acceptation des fragments de diffusion en texte clair en tant que trames complètes (dans un réseau crypté)

CVE-2020-26144

: Acceptation des trames A-MSDU en clair qui commencent par un en-tête RFC1042 avec EtherType EAPOL (dans un réseau crypté)

CVE-2020-26140

: Acceptation des trames de données en clair dans un réseau protégé

CVE-2020-26143

: Acceptation de trames de données en clair fragmentées dans un réseau protégé

Autres défauts d'implémentation :

CVE-2020-26139

: Transférer les trames EAPOL même si l'expéditeur n'est pas encore authentifié (ne devrait affecter que les points d'accès)

CVE-2020-26146

: Réassemblage de fragments cryptés avec des numéros de paquets non consécutifs

CVE-2020-26147

: Réassemblage de fragments mixtes cryptés/en clair

CVE-2020-26142

: Traitement des trames fragmentées en tant que trames complètes

CVE-2020-26141

: Ne pas vérifier le TKIP MIC des trames fragmentées

Le moyen le plus efficace d'atténuer la menace posée par FragAttacks est d'installer toutes les mises à jour disponibles qui corrigent les vulnérabilités. Les utilisateurs devront le faire sur chaque ordinateur, routeur ou autre périphérique Internet des objets vulnérable. Il est probable qu'un grand nombre d'appareils concernés ne recevront jamais de correctif.

La meilleure atténuation suivante consiste à s'assurer que les sites Web utilisent toujours des connexions HTTPS. En effet, le cryptage fourni par HTTPS réduit considérablement les dommages pouvant être causés lorsqu'un serveur DNS malveillant dirige une victime vers un faux site Web.

Les sites qui utilisent HTTP Strict Transport Security utiliseront toujours cette protection, mais Vanhoef a déclaré que seulement environ 20 % du Web le fait. Les extensions de navigateur comme

HTTPS partout

étaient déjà une bonne idée, et l'atténuation qu'ils fournissent contre les FragAttacks les rend encore plus utiles.

Comme indiqué précédemment, les FragAttacks ne sont pas susceptibles d'être exploités contre la grande majorité des utilisateurs de Wi-Fi, car les exploits nécessitent un degré élevé de compétence ainsi que la proximité, c'est-à-dire dans un rayon de 100 pieds à un demi-mile, selon l'équipement. utilisé—à la cible. Les vulnérabilités représentent une menace plus élevée pour les réseaux utilisés par des cibles de grande valeur telles que les chaînes de magasins, les ambassades ou les réseaux d'entreprise où la sécurité est la clé, et très probablement uniquement de concert avec d'autres exploits.

Lorsque les mises à jour deviennent disponibles, installez-les par tous les moyens, mais à moins que vous ne soyez dans ce dernier groupe, n'oubliez pas que les téléchargements au volant et d'autres types d'attaques plus banales constitueront probablement une menace plus importante.

Articles populaires