El recientemente publicitado ataque de polvo de duendes de Pixie ha expuesto una vez más las vulnerabilidades críticas inherentes al protocolo de configuración protegida de Wi-Fi (WPS), lo que permite a los atacantes extraer el PIN WPS del enrutador fuera de línea y unirse a la red inalámbrica.
Al dirigirse a la aleatorización débil en el Nonces del Registrador, esta exploit subvierte la seguridad prevista de WPS sin requerir proximidad o hardware sofisticado.
Los defensores de la red y los usuarios domésticos deben actualizar o deshabilitar urgentemente las funciones de WPS para mitigar el riesgo de acceso no autorizado.
Pixie Dust Wi-Fi Attack
WPS fue diseñado para simplificar la configuración de Wi-Fi permitiendo que los dispositivos se unan a una red utilizando un pin corto de 8 dígitos en lugar del WPA2-PSK completo.
Según Netrise, en el ataque de polvo de duendes, los adversarios aprovechar Dos defectos críticos en el apretón de manos WPS de cuatro vías:
Los enrutadores emiten un registro de 128 bits Nonces (Nonce-1 y Nonce-2) durante el intercambio EAP-TLS.
Debido a la implementación de los números aleatorios defectuosos, estos no Fortal pueden predecirse o repetirse en todas las sesiones. Los atacantes interceptan los marcos de Eapol iniciales y calculan el registrador Nonces fuera de línea.
Recuperación de pin fuera de línea
Una vez que se conocen a los nonces, el atacante reconstruye los valores de HMAC-MD5 utilizados para verificar el PIN.
Al iterando a través de solo 11,000 posibilidades para la primera mitad del pin y 1,000 para el segundo, el pin completo de 8 dígitos se descubre en minutos mucho más rápido que el WPA2 que forzó bruto.
Las herramientas técnicas como Reaver y Bully se han extendido con una bandera de pixie-dust para automatizar el análisis de no CE. Se parece un comando de ataque típico:
Aquí, -i Wlan0Mon especifica la interfaz en modo monitor, -b designa el objetivo BSSID, y -VV permite que la salida verbosa rastree la recuperación de no CE y el progreso de agrietamiento de pin.
Después de recuperar con éxito el PIN WPS, el atacante envía una respuesta EAP-TLS final que contiene el PIN correcto, lo que lleva al enrutador a devolver el mensaje EAP-Success y permitir el rol del registrador.
En este punto, el atacante puede derivar la tecla previa al intercambio WPA2 (PSK) directamente del enrutador:
El atacante solicita el atributo PIN NVS WSC. El enrutador revela la clave de red, que es el WPA2-PSK. Con el PSK en la mano, el adversario se conecta a la red como cualquier cliente legítimo.
Debido a que la vulnerabilidad del polvo de duendecillo ocurre completamente en el protocolo WPS, el propio WPA2 permanece intacto; Sin embargo, el bypass de la autenticación de PIN anula su protección.
Parchear el firmware para garantizar la aleatorización de no CE adecuada o la discapacidad directa de WPS es la única defensa confiable. Los usuarios deben verificar la configuración del enrutador o aplicar actualizaciones del proveedor que eliminen el soporte del PIN WPS.
Además, habilitar los marcos de gestión protegidos 802.11W puede elevar la barra contra intentos de intercepción sin CE y forja de mensajes.
Dado que millones de enrutadores en el hogar y la pequeña oficina todavía se envían con WPS habilitados de forma predeterminada, el ataque de polvo Pixie subraya la importancia del diseño de protocolo riguroso y los peligros de las características de conveniencia en los sistemas de seguridad.
Las organizaciones deben auditar su infraestructura inalámbrica de inmediato, y los usuarios domésticos deben cambiar o deshabilitar las configuraciones vulnerables para mantenerse a salvo.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
