0
| 本文作者: 靈火K | 2019-05-18 12:20 |
雷鋒網(wǎng)5月18日消息,研究人員發(fā)現(xiàn)蘋(píng)果設(shè)備在PEAP認(rèn)證上存在缺陷,攻擊者可強(qiáng)迫蘋(píng)果設(shè)備接入惡意熱點(diǎn)。
研究人員稱,即使身份驗(yàn)證服務(wù)器(RADIUS)也不能證明密碼的真實(shí)性,該錯(cuò)誤依然允許攻擊者強(qiáng)制任何Apple設(shè)備(iOS,macOS或tvOS)與惡意接入點(diǎn)關(guān)聯(lián)。
以下是雷鋒網(wǎng)對(duì)報(bào)告內(nèi)容進(jìn)行的整理:
初遇CVE-2019-6203
報(bào)告撰寫(xiě)者dominic稱,去年我們?cè)跍?zhǔn)備Defcon的演講時(shí),邁克爾(另一位研究人員)和我正嘗試實(shí)施hostapd-wpe的EAP攻擊試驗(yàn)。在此次攻擊中,身份驗(yàn)證服務(wù)器將接受任何用戶名,之后的動(dòng)作并非將證明密碼內(nèi)容返回到工作站的步驟(因?yàn)樗恢烂艽a),而是將EAP成功消息發(fā)送回工作站。
“對(duì)于邁克爾的執(zhí)著,我拒絕了很長(zhǎng)一段時(shí)間。因?yàn)槲矣X(jué)得這種攻擊方案不會(huì)奏效。因?yàn)樵贛SCHAPv2中,驗(yàn)證服務(wù)器實(shí)際上證明了密碼內(nèi)容回到?jīng)Q策端的過(guò)程,即使不能,我認(rèn)為決策段也會(huì)拒絕繼續(xù)執(zhí)行,畢竟這就是保障安全的重點(diǎn)。”
令dominic出乎意料的是,在唯一的一次測(cè)試中hostapd-wpe的EAP攻擊試驗(yàn)竟然成功了,幾乎全部接受實(shí)驗(yàn)的Apple設(shè)備(iPad,iPhone,Macbook)都成功連接到惡意接入點(diǎn)。由于WPE是由Brad Antoniewicz編寫(xiě)的,我只得向他詢問(wèn)問(wèn)題所在:
在這之后,dominic針對(duì)此次發(fā)現(xiàn)進(jìn)行了大量研究,并在4月份嘗試進(jìn)行了CVE-2019-6203漏洞攻擊的再現(xiàn)實(shí)驗(yàn)。
復(fù)現(xiàn)Apple漏洞
復(fù)現(xiàn)攻擊的第一步,是找出漏洞的所在之處。通常來(lái)說(shuō),PEAP-MSCHAP v2的認(rèn)證過(guò)程分為兩個(gè)階段:
1、驗(yàn)證服務(wù)器身份和建立TLS隧道。服務(wù)端將向客戶端發(fā)送服務(wù)端的證書(shū)信息,通過(guò)后建立TLS隧道保護(hù)傳輸?shù)臄?shù)據(jù)。
2、在TLS隧道內(nèi)通過(guò)MSCHAP v2進(jìn)行雙向認(rèn)證。
在Frame 4、Frame 5中,驗(yàn)證者和客戶端的Response都是通過(guò)雙方的Challenge + passwordHash + Username計(jì)算得出的,并發(fā)向?qū)Ψ竭M(jìn)行身份驗(yàn)證。
那么,如何復(fù)現(xiàn)Apple漏洞攻擊呢?
2008年,安全研究員Joshua Wright編寫(xiě)了一個(gè)名為FreeRADIUS 的補(bǔ)丁。Wright的WPE攻擊試驗(yàn)同樣使用了繞過(guò)PEAP-MSCHAP v2的方式,最終,它可以通過(guò)建立虛假PEAP-MSCHAPv2熱點(diǎn)得到個(gè)人用戶請(qǐng)求,并在第二階段獲取Challenge、NTResponse 和 Username。
“與之類似的原理,同樣可以應(yīng)用在此次研究中。”dominic稱,我用同樣的方式復(fù)現(xiàn)了PEAP認(rèn)證上的漏洞攻擊CVE-2019-6203。
具體方法如下:
安裝:
hostapd-wpehttps://github.com/OpenSecurityResearch/hostapd-wpe/blob/master/hostapd-wpe.patch 這是在Kali中使用“apt-get install hostapd-wpe”完成的,以下假定該方法。
使用-e開(kāi)關(guān)運(yùn)行它以啟用“EAP Success”
https://github.com/OpenSecurityResearch/hostapd-wpe/blob/master/README#L135
在iOS設(shè)備上,在Wifi下,連接到“hostapd-wpe”網(wǎng)絡(luò)。選擇信任證書(shū)。可以使用任何憑據(jù)。
設(shè)備將連接,運(yùn)行dnsmasq以分發(fā)DHCP將顯示設(shè)備獲取IP。
使用以下示例配置嘗試使用wpa_supplicant進(jìn)行相同的客戶端連接將不起作用:
network = {
ssid =“hostapd-
wpe ” key_mgmt = WPA-EAP
eap = PEAP
phase2 =“auth = MSCHAPV2”
identity =“test”
password =“password”
ca_cert =“/ etc / hostapd-wpe / certs / ca.pem “
}
如此一來(lái),將看到請(qǐng)求者將拒絕最終的消息驗(yàn)證者并斷開(kāi)連接。
修復(fù)問(wèn)題及解決方案
復(fù)現(xiàn)試驗(yàn)中,未打補(bǔ)丁的Apple設(shè)備跳過(guò)發(fā)送驗(yàn)證器響應(yīng)并且僅按照第7幀發(fā)送MSCHAPv2成功幀。這導(dǎo)致易受攻擊的Apple設(shè)備輕松在其狀態(tài)機(jī)制中跳過(guò)。隨后它會(huì)發(fā)送一個(gè)PEAP響應(yīng)——hostapd-wpe向其發(fā)送EAP-Success。
dominic稱,這意味著如果Apple設(shè)備連接到未知用戶密碼的惡意AP,它不僅會(huì)獲得NetNTLMv1質(zhì)詢響應(yīng),設(shè)備也將連接到網(wǎng)絡(luò)。由于EAP的網(wǎng)絡(luò)通常是企業(yè)網(wǎng)絡(luò),Apple設(shè)備會(huì)認(rèn)為它與之相關(guān)(沒(méi)有用戶交互),此時(shí)也可以進(jìn)行響應(yīng)式攻擊。
該缺陷影響2019年3月25日前的iOS、macOS、tvOS版本,包含MacBook、iPhone、iPad、Apple TV等多種蘋(píng)果設(shè)備。但令dominic感到困惑的是,已修補(bǔ)的設(shè)備在PEAP,MSCHAPv2和WPA2級(jí)別上表現(xiàn)出完全相同的行為,即設(shè)備仍然連接到網(wǎng)絡(luò),在某些情況下甚至?xí)?qǐng)求DHCP。這是一個(gè)例子:
相反,Apple 在連接后使設(shè)備與網(wǎng)絡(luò)斷開(kāi)連接。設(shè)備顯示“無(wú)法連接”錯(cuò)誤,并且設(shè)備上顯示的日志條目顯示:
Dominic解釋道,這有點(diǎn)像一名保安在守護(hù)一座大樓,一旦有人進(jìn)去無(wú)論是誰(shuí)都會(huì)被全部趕出去。雖然它具有解決問(wèn)題的效果,但很讓人擔(dān)心會(huì)不會(huì)暴漏出其他危險(xiǎn)訊號(hào)。
“然而,在測(cè)試修復(fù)后的系統(tǒng)時(shí),我確實(shí)注意到一個(gè)異常值,當(dāng)在設(shè)備連接但導(dǎo)出不同的PMK時(shí),握手的第二個(gè)消息中由MIC證明(這就是repo中的WPA代碼所用的)出現(xiàn)了異常。當(dāng)然,我覺(jué)得這只是一次偶然,因?yàn)镻MK來(lái)自外部TLS會(huì)話并且未啟用加密綁定,這應(yīng)該是沒(méi)有可能的。”
目前,Dominic仍不能確認(rèn)這個(gè)問(wèn)題是否真的存在,他表示會(huì)在之后的研究中用多臺(tái)蘋(píng)果設(shè)備展開(kāi)試驗(yàn),找出答案。
建議:
驗(yàn)證在最終EAP-Success消息中發(fā)送的消息驗(yàn)證器,并且不允許iOS / macOS設(shè)備連接到無(wú)法證明用戶密碼知識(shí)的惡意接入點(diǎn)。
可以在以下位置找到執(zhí)行此驗(yàn)證的wpa_supplicant示例:
https ://w1.fi/cgit/hostap/tree/src/eap_peer/mschapv2.c#n112
參考來(lái)源:sensepost;freebuf雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。
