Ver destacados

Ataque Krack vulnerabilidad WiFi WPA2 y actualizaciones de seguridad

Te explicamos que es el ataque Krack y la vulnerabilidad del protocolo WiFi WPA2 así como sugerencias para realizar actualizaciones de seguridad
Escrito por
9.1K Visitas  |  Publicado oct 25 2017 16:57
Favorito
Compartir
Comparte esta pagina a tus Amigos y Contactos usando las siguientes Redes Sociales


Con el auge de la tecnología toda nuestra información está expuesta a ser víctima de algún tipo de ataque y aunque pensemos que nunca nos pasara debemos estar alertas y reconocer que los atacantes propagan sus objetivos sin seleccionar víctimas.

 

Hace poco hablamos y vimos como Ransomware afecto miles de usuario y compañías a nivel mundial secuestrando literalmente sus datos y pidiendo una recompensa monetaria que día a día iba creciendo si no se accedía a sus pretensiones.

 

Ransomware fue finalmente controlado por las diversas actualizaciones de seguridad, pero dejo una marca en temas de seguridad y cuando pensábamos que todo estaba relativamente en calma surge una nueva amenaza que sin duda tiene un impacto global por su tipo de propagación y objetivo de ataque y es el ya conocido ataque Krack el cual fue descubierto el 16 de octubre de este año.

 

El ataque Krack es una vulnerabilidad KRACK en WPA2 el cual, todos sabemos, es el método de seguridad más común en la mayoría de los enrutadores inalámbricos lanzados desde 2004. Su naturaleza permite a los piratas informáticos infiltrarse en una conexión Wi-Fi completamente segura sin que la víctima lo sepa hasta que sea demasiado tarde para ellos hacer algo al respecto para tomar medidas de seguridad y porque la preocupación con este ataque, sencillo, la gran mayoría de los dispositivos inalámbricos actuales, incluidos nuestros dispositivos móviles, usan WPA2 para negociar la entrada a una red.

 

Tras conocerse la noticia de que el protocolo de seguridad WPA2 ha sido hackeado, la vulnerabilidad de las redes WiFi es un hecho. ¿Quieres conocer todos los detalles acerca de este ataque?

 

Qué es y cómo funciona el ataque Krack
Hemos mencionado que WPA2, es un protocolo diseñado para asegurar todas las redes Wi-Fi protegidas en la actualidad, bien, con Krack, el atacante dentro del alcance de red de una víctima puede explotar estas debilidades usando ataques de reinstalación de claves (KRACK), es decir, los atacantes pueden usar esta nueva técnica de ataque para leer información que previamente se suponía que estaba cifrada de forma segura. Esto se puede usar para robar información confidencial, como números de tarjetas de crédito, contraseñas, mensajes de chat, correos electrónicos, fotos, etc.

 

El ataque funciona contra todas las redes Wi-Fi protegidas modernas y, dependiendo de la configuración de la red, también es posible inyectar y manipular datos. Por ejemplo, un atacante podría inyectar ransomware u otro malware en sitios web con tan solo estar conectados a la red Wi-Fi.

 

Dos de los sistemas que están más vulnerables a este ataque son Android, desde la versión 6.0, y Linux, ya que es posible reinstalar una clave de cifrado con cero datos. Al atacar a otros dispositivos, es más difícil descifrar todos los paquetes, aunque se puede descifrar un gran número de paquetes.

 

En el siguiente video se explica de forma detallada como el atacante puede descifrar todos los datos que transmite la víctima:

 

 

 

 


1. Cómo funciona en detalle del ataque Krack


El ataque Krack está dirigido hacia el proceso de 4 vías del protocolo WPA2 el cual se da cuando un cliente desea unirse a una red Wi-Fi protegida, y se utiliza para confirmar que tanto el cliente como el punto de acceso poseen las credenciales correctas.

 

Con este proceso de 4 vías, se negocia una nueva clave de cifrado que será usada para cifrar todo el tráfico subsiguiente. Actualmente, todas las redes Wi-Fi protegidas modernas hacen uso del protocolo de enlace de 4 vías lo cual implica que todas estas redes se ven afectadas por, o alguna variante, del ataque Krack. Por ejemplo, el ataque funciona contra redes Wi-Fi personales y empresariales, contra el WPA anterior y el último estándar WPA2, e incluso contra redes que solo hacen uso del cifrado AES. Todos estos ataques contra WPA2 usan una técnica novedosa llamada ataque de reinstalación clave (KRACK) la cual consta de los siguientes pasos:

 

Ataques clave de reinstalación: descripción de alto nivel
En un ataque de reinstalación de clave, el atacante engaña a la víctima para que reinstale una clave que ya está en uso. Esto lo logra manipulando y reproduciendo mensajes de saludo criptográfico. Cuando la víctima vuelve a instalar la clave, los parámetros asociados, tales como el número de paquete de transmisión incremental y el número de paquete de recepción serán restablecidos a su valor inicial. Básicamente, para garantizar la seguridad, una clave solo debe instalarse y usarse una vez. Lamentablemente, este tipo de practica no está garantizado por el protocolo WPA2.

 

Ataques clave de reinstalación: ejemplo concreto contra el proceso de 4 vías de WPA2
Cuando un cliente se une a una red Wi-Fi, ejecuta el enlace de 4 vías para negociar una nueva clave de cifrado. Instalará esta clave después de recibir el mensaje 3 del enlace de 4 vías y, una vez que se instala la clave, se usará para cifrar los marcos de datos normales utilizando un protocolo de encriptación.

 

Sin embargo, como los mensajes se pueden perder o descartar, el Punto de acceso (AP) retransmitirá el mensaje 3 si no recibió una respuesta apropiada como acuse de recibo. Como resultado de esto, el cliente puede recibir el mensaje 3 varias veces y cada vez que recibe este mensaje, reinstalará la misma clave de cifrado y, por ello, reiniciará el número de paquete de transmisión incremental y recibirá el contador de reproducción utilizado por el protocolo de cifrado.

 

Como resultado de esto, al forzar la reutilización del paquete de transmisión y de esta manera, el protocolo de encriptación puede ser atacado, por ejemplo, los paquetes pueden ser reproducidos, descifrados y/o falsificados. La misma técnica también se puede utilizar para atacar a la clave de grupo, PeerKey, TDLS, y rápido enlace de transición BSS.

 

Impacto
El descifrado de paquetes es posible porque un ataque de reinstalación de clave hace que los números de transmisión (a veces también denominados números de paquete o vectores de inicialización) se restablezcan a cero. Como resultado, la misma clave de cifrado se utiliza con valores del paquete de transmisión que ya se han utilizado en el pasado. A su vez, esto hace que todos los protocolos de encriptación de WPA2 reutilicen el flujo de claves al encriptar los paquetes habilitando la facilidad del ataque Krack.

 

La capacidad de descifrar paquetes se puede usar para descifrar paquetes TCP SYN con lo cual se permite a un adversario obtener los números de secuencia TCP de una conexión y secuestrar las conexiones TCP. Como resultado de ello, aunque estemos protegidos por WPA2, el adversario ahora puede realizar uno de los ataques más comunes contra redes Wi-Fi abiertas: inyectar datos maliciosos en conexiones HTTP no encriptadas. Por ejemplo, un atacante puede aprovechar esta situación para inyectar ransomware o malware en sitios web que la víctima está visitando y que no están encriptados.
Si la víctima usa el protocolo de cifrado WPA-TKIP o GCMP, en lugar de AES-CCMP, el impacto es exponencialmente más crítico.

 


2. Impacto ataque Krack en Android y Linux


El ataque Krack es afecta con más fuerza la versión 2.4 y superior de wpa_supplicant, el cual es un cliente de Wi-Fi comúnmente usado en Linux.

 

En este caso, el cliente instalará una clave de cifrado cero en lugar de reinstalar la clave real. Esta vulnerabilidad parece deberse a un comentario en el estándar Wi-Fi que sugiere borrar la clave de cifrado de la memoria una vez que se ha instalado por primera vez. Cuando el cliente recibe ahora un mensaje retransmitido del enlace de 4 vías de WPA2, volverá a instalar la clave de cifrado ahora borrada, instalando efectivamente una clave de cero.

 

En el caso de Android podemos ver que se usa wpa_supplicant, por ello Android 6.0 y superior también contiene esta vulnerabilidad lo cual hace que sea simple interceptar y manipular el tráfico enviado por estos dispositivos Linux y Android.
Debemos tener en cuenta que actualmente el 50% de los dispositivos Android son vulnerables a esta variante devastadora de Krack por lo cual debemos ser precavidos y tomar las medidas de seguridad que sean necesarias para evitar ser una víctima más.

 

CVE (Common Vulnerabilities and Exposures - Vulnerabilidades y Exposiciones Comunes, han sido desarrolladas para rastrear qué productos se ven afectados por instancias específicas del ataque Krack a nivel de reinstalación de clave.

 

Las CVEs actuales disponibles son:

 

Reinstalación de la clave de cifrado por pares (PTK-TK) en el protocolo de enlace de 4 vías
CVE-2017-13077

 

Reinstalación de la clave de grupo (GTK) en el protocolo de enlace de 4 vías
CVE-2017-13078

Reinstalación de la clave de grupo de integridad (IGTK) en el protocolo de enlace de 4 vías
CVE-2017-13079

Reinstalación de la clave de grupo (GTK) en el intercambio de claves de grupo
CVE-2017-13080

Reinstalación de la clave del grupo de integridad (IGTK) en el saludo de la tecla de grupo
CVE-2017-13081

 

Aceptación de una solicitud retransmitida de reasociación de transición BSS rápida (FT) y reinstalación de la clave de cifrado por parejas (PTK-TK)
CVE-2017-13082[

 

Reinstalación de la tecla STK en el proceso PeerKey
CVE-2017-13084

 

Reinstalación de la clave peerKey (TPK) de configuración de enlace directo de túnel (TDLS) en el protocolo de enlace TDLS
CVE-2017-13086

 

Reinstalación de la clave de grupo (GTK) al procesar una trama de respuesta de modo de suspensión de gestión de red inalámbrica (WNM)
CVE-2017-13087

 

Reinstalación de la clave de grupo de integridad (IGTK) al procesar una trama de respuesta de modo de suspensión de gestión de red inalámbrica (WNM)
CVE-2017-13088

 

Debemos tener en cuenta que cada identificador CVE representa una instancia específica de un ataque de reinstalación de clave. Esto significa que cada ID de CVE describe una vulnerabilidad de protocolo específica y, por lo tanto, muchos proveedores se ven afectados por cada ID de CVE individual, por ejemplo, Microsoft ha desarrollado la CVE-2017-13080 para sus dispositivos Windows 10.

 

 

Con este ataque debemos aclarar que no se logrará robar la contraseña de nuestra red Wi-Fi, pero sí podrá espiar todo lo que hacemos a través de ella lo cual es delicado y Krack no funciona contra dispositivos Windows o iOS.
Podemos ver que Android está habilitado con todas las vías de ataque de Krack:

 

 

 Key Reinstallation Atacks

 

Con esto podemos mencionar que otras plataformas vulnerables, en menor escala, son OpenBSD, OS X 10.9.5 y macOS Sierra 10.12

 


4. Cómo protegernos de este ataque Krack


Al ser un ataque invisible nunca nos daremos cuenta si estamos siendo atacados por Krack por lo cual podemos tomar lo siguiente como una buena práctica:
  • De ser posible usar redes VPN
  • Verificar siempre que los sitios usen el protocolo HTTP seguro, HTTPS
  • Asegurarnos de que todos los dispositivos estén actualizados, y también actualizar el firmware del router
  • Recurrir a los parches de seguridad de los fabricantes en los siguientes enlaces:

 

 Microsoft

 Debian

 

Próximamente serán lanzados una serie de scripts que serán de gran ayuda para mitigar el impacto de Krack y así hacerle frente a esta nueva amenaza.

 

Aunque nuestros dispositivos son vulnerables a este ataque debemos estar atentos a la forma como navegamos, como ingresamos la información personal y, ante todo, estar al tanto de las nuevas actualizaciones del sistema.

 

Conoce tipos de Ransomware (WannaCry, Wanna Decrypt0r 2.0, MBR, Winlocker, Jigsaw, Maktub etc. Cómo recuperar archivos y protegerte del ataque.

¿Te ayudó este Tutorial?

Ayuda a mejorar este Tutorial!
¿Quieres ayudarnos a mejorar este tutorial más? Puedes enviar tu Revisión con los cambios que considere útiles. Ya hay 0 usuario que han contribuido en este tutorial al enviar sus Revisiones. ¡Puedes ser el próximo!