El ataque WiFi recientemente identificado llamado Wi-Jacking permite a los piratas informáticos atacar a millones de redes WiFi y acceder al WiFi del vecino sin ninguna forma de Agrietamiento.
Los investigadores identificaron este flujo en la interacción del comportamiento del navegador y la debilidad existente en casi todos los enrutadores domésticos que permite el acceso a millones de redes WiFi.
Este ataque Wi-Jacking podría ser posible dentro de ciertas limitaciones en las credenciales guardadas de los navegadores que se vuelven a utilizar para la misma URL cada vez que los usuarios vuelvan a utilizarla.
Otra debilidad en un enrutador doméstico que simplemente se utiliza en una conexión HTTP no encriptada en la interfaz que se utilizó para acceder a la configuración de configuración del enrutador en el navegador.
Estas dos debilidades combinadas permiten a los atacantes romper la red WPA/WPA2 sin romper un solo apretón de manos.
Hay algunos requisitos previos que deben cumplirse para realizar con éxito este ataque Wi-Jacking, aquí lo siguiente.
- DEBE haber un dispositivo cliente activo en la red objetivo
- El dispositivo cliente DEBE haberse conectado previamente a cualquier otra red abierta y permitido la reconexión automática
- El dispositivo cliente DEBERÍA * estar usando un navegador basado en Chromium como Chrome u Opera
- El dispositivo cliente DEBERÍA ** tener las credenciales de la interfaz de administrador del enrutador recordadas por el navegador
- La interfaz de administración del enrutador de la red de destino DEBE estar configurada sobre HTTP no encriptado
Pasos a seguir para realizar el ataque Wi-Jacking
El primer paso para este Ataque Wi-Jacking comienza con las solicitudes de desauthentication que necesitan enviar a través de aireplay-ng a la red de víctimas junto con el ataque de Karma usando 'hostapd-wpe'.
Así que aquí tenemos la desauthentication exitosa y el siguiente paso activará el navegador de la víctima para cargar nuestra URL que se puede lograr usando 'dnsmasq' y un script de Python.
Aquí La URL y la página servida son diferentes según el enrutador al que nos dirigimos. Podemos detectar qué URL / par de páginas enviar en base a BSSID y ESSID o simplemente adivinar, el rango de opciones está limitado de todos modos.
Una vez que la página comenzó a cargarse, entonces el navegador de la víctima verificará los siguientes dos pasos para que el navegador llene automáticamente la página con las credenciales guardadas.
- 1 ¿Nuestro origen de URL coincide con el origen de la interfaz de administración del enrutador (protocolo y dirección IP / nombre de host)
- 2 Los campos de entrada en la página coinciden con lo que el navegador recuerda de la interfaz del enrutador
Según los investigadores de surecloud , si el objetivo usa Chrome, hay un paso más: la función Chromium "PasswordValueGatekeeper" requiere que el usuario interactúe con la página de alguna manera. Un clic en cualquier lugar de la página está bien, y después del clic podemos cosechar las credenciales.
Si el objetivo es usar Firefox, Internet Explorer, Safari o Edge, entonces no podemos tener los campos de entrada ocultos. El ataque aún funcionaría, pero solo si el objetivo hace clic en nuestro campo de formulario y selecciona sus credenciales del menú desplegable. En este punto, el ataque es principalmente ingeniería social
Una vez que obtengamos las credenciales, el atacante hará que las víctimas mantengan la página abierta un poco más de tiempo.
En esta situación, el ataque de karma se detendrá y luego el atacante ahora liberará la red de la víctima de vuelta a ellos.
"Entonces, una vez que el dispositivo de destino se haya conectado correctamente a su red original, la página del atacante se encuentra en el origen de la interfaz de administración del enrutador con las credenciales de administrador cargadas en JavaScript".
Luego, un XMLHttpRequest lo ayudará a iniciar sesión en el enrutador y tomar el PSK y también realizar cualquier cambio que necesitemos.
Los investigadores dijeron: "En la mayoría de los enrutadores WiFi que probamos, podríamos extraer el WPA2 PSK directamente de la interfaz web en texto sin formato, anulando la necesidad de capturar un apretón de manos en la red. Pero si un enrutador oculta la clave, podríamos habilitar WPS con una clave conocida, crear un nuevo punto de acceso o cualquier otra cosa que podamos hacer desde la interfaz del enrutador ".
En este caso, la última actualización de Chrome (69.0.3497.81) tiene este defecto donde las credenciales se rellenan automáticamente en páginas HTTP no cifradas.
Solución sugerida por surecloud
Según nuestra solución propuesta originalmente, también sería genial ver a Microsoft ajustar portales cautivos en Windows para que se comporte de manera similar a los de MacOS (navegador separado) y para que los fabricantes de enrutadores hagan cumplir la administración de HTTPS por defecto en sus dispositivos. Estos cambios limitarían aún más este vector de ataque.
Mitigaciones
- Solo inicie sesión en su enrutador usando un navegador separado o sesión de incógnito
- Borre las contraseñas guardadas de su navegador y no guarde las credenciales para las páginas HTTP no seguras
- Eliminar las redes abiertas guardadas y no permitir la reconexión automática
- Como es casi imposible saber si este ataque ya ocurrió contra su red, cambie sus claves precompartidas y las credenciales de administrador del enrutador lo antes posible. Nuevamente, use un navegador separado / privado para la configuración y elija una clave segura.
