Pesquisadores de segurança cibernética descobriram uma falha fundamental de segurança no design do padrão de protocolo IEEE 802.11 WiFi, permitindo que atacantes enganem pontos de acesso para vazar quadros de rede em forma de texto simples.
Quadros WiFi são contêineres de dados que consistem em um cabeçalho, payload e trailer, que incluem informações como o endereço MAC de origem e destino, controle e dados de gerenciamento.
Esses quadros são ordenados em filas e transmitidos de maneira controlada para evitar colisões e maximizar o desempenho da troca de dados, monitorando os estados ocupado/inativo dos pontos de recebimento.
Os pesquisadores descobriram que quadros em fila/buffer não são adequadamente protegidos de adversários, que podem manipular a transmissão de dados, spoofing de cliente, redirecionamento de quadros e captura.
"Nossos ataques têm um impacto generalizado, pois afetam vários dispositivos e sistemas operacionais (Linux, FreeBSD, iOS e Android) e porque podem ser usados para sequestrar conexões TCP ou interceptar tráfego de clientes e web", diz o artigo técnico publicado ontem por Domien Schepers e Aanjhan Ranganathan da Universidade Northeastern e Mathy Vanhoef do imec-DistriNet, KU Leuven.
O padrão IEEE 802.11 inclui mecanismos de economia de energia que permitem que dispositivos WiFi economizem energia armazenando ou enfileirando quadros destinados a dispositivos em modo de dormir.
Quando uma estação cliente (dispositivo receptor) entra em modo de suspensão, ela envia um quadro para o ponto de acesso com um cabeçalho que contém o bit de economia de energia, então todos os quadros destinados a ele são enfileirados.
No entanto, o padrão não fornece orientações explícitas sobre o gerenciamento da segurança desses quadros enfileirados e não define limitações como quanto tempo os quadros podem permanecer nesse estado.
Uma vez que a estação cliente acorda, o ponto de acesso desenfileira os quadros armazenados, aplica criptografia e os transmite para o destino.
Um atacante pode falsificar o endereço MAC de um dispositivo na rede e enviar quadros de economia de energia para pontos de acesso, forçando-os a começar a enfileirar quadros destinados ao alvo.
Em seguida, o atacante transmite um quadro de despertar para recuperar a pilha de quadros.
Os quadros transmitidos normalmente são criptografados usando a chave de criptografia de endereço de grupo, compartilhada entre todos os dispositivos na rede WiFi, ou uma chave de criptografia pairwise, que é única para cada dispositivo e usada para criptografar quadros trocados entre dois dispositivos.
No entanto, o atacante pode alterar o contexto de segurança dos quadros enviando quadros de autenticação e associação ao ponto de acesso, forçando-o a transmitir os quadros em forma de texto simples ou criptografá-los com uma chave fornecida pelo atacante.
Esse ataque é possível usando ferramentas personalizadas criadas pelos pesquisadores chamadas MacStealer, que podem testar redes WiFi para contornos de isolamento de clientes e interceptar tráfego destinado a outros clientes na camada MAC.
Os pesquisadores relatam que modelos de dispositivos de rede de Lancom, Aruba, Cisco, Asus e D-Link são conhecidos por serem afetados por esses ataques, com a lista completa abaixo.
Os pesquisadores alertam que esses ataques podem ser usados para injetar conteúdo malicioso, como JavaScript, em pacotes TCP.
"Um adversário pode usar seu próprio servidor conectado à Internet para injetar dados nesta conexão TCP injetando pacotes TCP fora do caminho com um endereço IP do remetente falsificado", alertam os pesquisadores.
"Isso pode ser usado, por exemplo, para enviar código JavaScript malicioso para a vítima em conexões HTTP em texto simples com o objetivo de explorar vulnerabilidades no navegador do cliente".
Embora esse ataque também possa ser usado para espionar o tráfego, como a maioria do tráfego da web é criptografado usando TLS, o impacto seria limitado.
Os detalhes técnicos e a pesquisa estão disponíveis no artigo USENIX Security 2023, que será apresentado na próxima conferência BlackHat Asia em 12 de maio de 2023.
O primeiro fornecedor a reconhecer o impacto da falha do protocolo WiFi é a Cisco, admitindo que os ataques descritos no artigo podem ter sucesso contra produtos de ponto de acesso sem fio da Cisco e produtos da Cisco Meraki com capacidades sem fio.
No entanto, a Cisco acredita que os quadros recuperados provavelmente não comprometeriam a segurança geral de uma rede adequadamente segura.
Ainda assim, a empresa recomenda a aplicação de medidas de mitigação, como o uso de mecanismos de aplicação de políticas por meio de um sistema como o Cisco Identity Services Engine (ISE), que pode restringir o acesso à rede implementando as tecnologias Cisco TrustSec ou Software Defined Access (SDA).
"A Cisco também recomenda a implementação de segurança de camada de transporte para criptografar dados em trânsito sempre que possível, pois tornaria os dados adquiridos inutilizáveis pelo atacante", diz o aviso de segurança da Cisco.
Atualmente, não há casos conhecidos de uso malicioso da falha descoberta pelos pesquisadores.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...