WPA2 Key Reinstallation AttaCK or KRACK attack
Récemment, Mathy Vanhoef d'imec-DistriNet, KU Leuven, a découvert une grave faiblesse dans WPA2 connue sous le nom d'attaque Key Reinstallation AttaCK (ou KRACK). Leur vue d'ensemble, Key Reinstallation Attacks:Breaking WPA2 by forcing nonce reuse, et leur article de recherche (Key Reinstallation Attacks:Forcing Nonce Reuse in WPA2, co-écrit par Frank Piessens) ont fait sensation dans notre industrie parce que la presse le vante " interrompt le Wi-Fi".
De nombreux articles ont été écrits sur cette vulnérabilité, et nous ne les répéterons pas ici. Cependant, nous voulons prendre un moment pour parler de la façon dont cela se rapporte à Kali Linux, d'un point de vue défensif, de test et de détection.
Kali Linux est-il vulnérable ?
D'un point de vue défensif, si vous suivez vos mises à jour continues de Kali Linux (via une simple "mise à jour apt &&mise à niveau apt"), vous êtes déjà corrigé contre cette vulnérabilité grâce aux correctifs dans wpasupplicant et hostapd (tous deux à 2.4-1.1 ). Pour être tout à fait clair :une mise à jour la version de Kali Linux n'est pas vulnérable à cette attaque. Vous maintenez votre système Kali Linux à jour, n'est-ce pas ?
Comment tester la vulnérabilité ?
Avec votre système Kali mis à jour, vous pouvez également prendre certaines mesures pour tester cette vulnérabilité sur vos points d'accès. Mathy Vanhoef a récemment publié un script qui peut être exécuté à partir de Kali Linux pour tester si votre point d'accès (AP) est affecté ou non par CVE-2017-13082 ou plus précisément la vulnérabilité Key Reinstall in FT Handshake trouvée dans les appareils 802.11r. Le script nécessite que vous vous authentifiiez auprès du point d'accès, mais gardez à l'esprit qu'il peut signaler à tort un point d'accès comme vulnérable en raison de "retransmissions bénignes de trames de données".
Comment détecter les attaques ?
Dragorn, l'auteur de l'incroyable Kismet, a publié de nombreuses informations intéressantes sur le sujet sur son blog, y compris d'excellentes informations sur la détection des attaques KRACK à l'aide de Kismet. Il explique que la version git-master de Kismet "introduit des alertes pour tenter de détecter une attaque de type Krack".
Ces alertes suivent les points d'accès usurpés, les points d'accès multicanaux, les clés de longueur nulle, l'absence de nonce dans une poignée de main et la retransmission nonce, tous les facteurs pouvant indiquer une attaque KRACK en cours.
Dragorn avertit que puisque Kismet saute les canaux, il pourrait manquer des paquets de poignée de main et donc manquer l'attaque. De plus, il dit que les faux positifs sont toujours possibles malgré la déduplication des paquets de Kismet et qu'une fois le véritable code de preuve de concept publié pour KRACK, la logique de ces alertes devra peut-être être ajustée.
Dragorn explique également que "il semble que vous puissiez toujours déclencher la détection de nonce kismet avec un paquet signalé dans le contrôle de trame comme une retransmission", mais malgré ces inconvénients, Kismet reste un système décent pour la détection de ce Wi-Fi et d'autres. attaques de protocole.
Pour installer la version git-master de Kismet sur Kali Linux, suivez ces étapes
Tout d'abord, indiquez au gestionnaire de réseau d'ignorer l'appareil Wi-Fi en ajoutant ces lignes :
[keyfile]
unmanaged-devices=interface-name:wlan0
à /etc/NetworkManager/NetworkManager.conf
Ensuite, redémarrez NetworkManager :
[email protected]:~# systemctl restart NetworkManager
Ensuite, installez les mises à jour et la version git-master de Kismet :
[email protected]:~# apt update
[email protected]:~# apt upgrade
[email protected]:~# git clone https://www.kismetwireless.net/git/kismet.git
[email protected]:~# apt install build-essential libmicrohttpd-dev libnl-3-dev libnl-genl-3-dev libcap-dev libpcap-dev libncurses5-dev libnm-dev libdw-dev libsqlite3-dev
[email protected]:~# cd kismet
[email protected]:~# ./configure
[email protected]:~# make
[email protected]:~# make suidinstall
[email protected]:~# /usr/local/bin/kismet_capture_tools/kismet_cap_linux_wifi --list
[email protected]:~# kismet -c wlan0
Ensuite, vous pouvez accéder à http://localhost:2501 pour afficher l'interface Kismet et les éventuelles alertes. Assurez-vous de vous connecter avec les informations d'identification trouvées dans ~/.kismet/kismet_httpd.conf pour obtenir toutes les fonctionnalités. Vous pouvez également créer et exécuter les outils de capture sur des machines distinctes, ce qui vous permet de surveiller à partir de plusieurs points de terminaison et d'afficher les alertes sur un seul serveur centralisé.
Dans l'ensemble, cette vulnérabilité n'est pas la fin du monde. Comme le dit @grifter801, cette vulnérabilité encourage cette approche choquante :"Patch your stuff. Utilisez 2FA. Utilisez HTTPS." Nous sommes tout à fait d'accord.
Nous vous encourageons également à considérer les perspectives défensives, de test et de détection de toute nouvelle vulnérabilité pour vous aider à devenir plus conscient des détails les plus fins de la vulnérabilité, à en savoir plus et à faire partie de la solution.
Merci à Steev, membre de l'équipe Offensive Security et Kali, pour les ressources techniques utilisées dans cet article.