WPA2 Key Reinstallation AttaCK- oder KRACK-Angriff
Kürzlich entdeckte Mathy Vanhoef von imec-DistriNet, KU Leuven, eine schwerwiegende Schwachstelle in WPA2, bekannt als Key Reinstallation AttaCK (oder KRACK)-Angriff. Ihre Übersicht „Key Reinstallation Attacks:Breaking WPA2 by Forced Nonce Reuse“ und das Forschungspapier (Key Reinstallation Attacks:Forcing Nonce Reuse in WPA2, mitverfasst von Frank Piessens) haben in unserer Branche für Aufsehen gesorgt, weil die Presse ankündigt, dass es „ bricht Wi-Fi“.
Es wurden zahlreiche Artikel über diese Schwachstelle geschrieben, und wir werden sie hier nicht erneut aufwärmen. Wir möchten uns jedoch einen Moment Zeit nehmen, um darüber zu sprechen, wie dies vom Standpunkt der Verteidigung, des Testens und der Erkennung aus mit Kali Linux zusammenhängt.
Ist Kali Linux anfällig?
Aus defensiver Sicht, wenn Sie mit Ihren laufenden Kali Linux-Updates (über ein einfaches „apt update &&apt upgrade“) Schritt halten, sind Sie dank Patches in wpasupplicant und hostapd (beide bei 2.4-1.1 ). Um es ganz klar zu sagen:ein aktualisiert Version von Kali Linux ist nicht anfällig zu diesem Angriff. Sie halten Ihr Kali-Linux-System auf dem neuesten Stand, nicht wahr?
Wie teste ich die Schwachstelle?
Wenn Ihr Kali-System aktualisiert ist, gibt es auch einige Schritte, die Sie unternehmen können, um diese Schwachstelle an Ihren Zugangspunkten zu testen. Mathy Vanhoef hat kürzlich ein Skript veröffentlicht, das von Kali Linux ausgeführt werden kann, um zu testen, ob Ihr Access Point (AP) von CVE-2017-13082 oder speziell der Schwachstelle Key Reinstall in FT Handshake betroffen ist, die in 802.11r-Geräten gefunden wurde. Das Skript erfordert, dass Sie sich beim Zugriffspunkt authentifizieren, aber denken Sie daran, dass es einen AP aufgrund „gutartiger Neuübertragungen von Datenrahmen“ fälschlicherweise als anfällig kennzeichnen kann.
Wie kann ich Angriffe erkennen?
Dragorn, der Autor des erstaunlichen Kismet, hat in seinem Blog viele großartige Informationen zu diesem Thema veröffentlicht, darunter hervorragende Informationen zur Erkennung von KRACK-Angriffen mit Kismet. Er erklärt, dass die Git-Master-Version von Kismet „Warnungen einführt, um zu versuchen, einen Angriff im Krack-Stil zu erkennen“.
Diese Warnungen verfolgen gefälschte Zugriffspunkte, Mehrkanal-Zugriffspunkte, Schlüssel der Länge Null, Null-Nonce in einem Handshake und Nonce-Neuübertragung, alles Faktoren, die auf einen laufenden KRACK-Angriff hinweisen könnten.
Dragorn warnt davor, dass Kismet, da es auf Kanälen springt, Handshake-Pakete und damit den Angriff verpassen könnte. Darüber hinaus sagt er, dass trotz der Paketdeduplizierung von Kismet immer noch Fehlalarme möglich sind und dass die Logik dieser Warnungen möglicherweise angepasst werden muss, sobald ein echter Proof-of-Concept-Code für KRACK veröffentlicht wird.
Dragorn erklärt auch, dass „es so aussieht, als könnten Sie die Kismet-Nonce-Erkennung immer noch mit einem Paket auslösen, das in der Frame-Steuerung als Neuübertragung gekennzeichnet ist“, aber trotz dieser Nachteile ist Kismet immer noch ein anständiges System zur Erkennung dieses und anderer Wi-Fi Protokollangriffe.
Um die Git-Master-Version von Kismet unter Kali Linux zu installieren, folge diesen Schritten
Weisen Sie zunächst networkmanager an, das Wi-Fi-Gerät zu ignorieren, indem Sie diese Zeilen hinzufügen:
[keyfile]
unmanaged-devices=interface-name:wlan0
bis /etc/NetworkManager/NetworkManager.conf
Starten Sie dann NetworkManager neu:
[email protected]:~# systemctl restart NetworkManager
Installieren Sie als Nächstes Updates und die Git-Master-Version von Kismet:
[email protected]:~# apt update
[email protected]:~# apt upgrade
[email protected]:~# git clone https://www.kismetwireless.net/git/kismet.git
[email protected]:~# apt install build-essential libmicrohttpd-dev libnl-3-dev libnl-genl-3-dev libcap-dev libpcap-dev libncurses5-dev libnm-dev libdw-dev libsqlite3-dev
[email protected]:~# cd kismet
[email protected]:~# ./configure
[email protected]:~# make
[email protected]:~# make suidinstall
[email protected]:~# /usr/local/bin/kismet_capture_tools/kismet_cap_linux_wifi --list
[email protected]:~# kismet -c wlan0
Als nächstes können Sie zu http://localhost:2501 navigieren um die Kismet-Oberfläche und alle Warnungen anzuzeigen. Achten Sie darauf, sich mit den unter ~/.kismet/kismet_httpd.conf gefundenen Anmeldedaten anzumelden um die volle Funktionalität zu erhalten. Sie können die Erfassungstools auch auf separaten Computern erstellen und ausführen, sodass Sie von mehreren Endpunkten aus überwachen und die Warnungen auf einem einzigen zentralen Server anzeigen können.
Insgesamt ist diese Schwachstelle nicht das Ende der Welt. Wie @grifter801 es ausdrückt, fördert diese Schwachstelle diesen schockierenden Ansatz:„Patch your stuff. Verwenden Sie 2FA. Verwenden Sie HTTPS.“ Wir könnten nicht mehr zustimmen.
Wir empfehlen Ihnen auch, die Verteidigungs-, Test- und Erkennungsperspektiven jeder neuen Schwachstelle zu berücksichtigen, damit Sie sich der feineren Details der Schwachstelle bewusster werden, Einblicke darüber gewinnen und Teil der Lösung werden.
Vielen Dank an Offensive Security und Kali-Teammitglied Steev für die in diesem Artikel verwendeten technischen Ressourcen.