“Em um switch normal de Camada 2, o switch aprende o MAC do cliente ao vê-lo responder com seu endereço de origem”, explicou Moore. “Este ataque confunde o AP, fazendo-o pensar que o cliente se reconectou em outro lugar, permitindo que um invasor redirecione o tráfego da Camada 2. Ao contrário dos switches Ethernet, os APs sem fio não podem vincular uma porta física no dispositivo a um único cliente; os clientes são móveis por design.”
A mudança do MAC do invasor para o alvo e vice-versa pode continuar pelo tempo que o invasor desejar. Com isso, o MitM bidirecional foi alcançado. Os invasores podem então realizar uma série de outros ataques, ambos relacionados ao AirSnitch ou como o envenenamento de cache discutido anteriormente. Dependendo do roteador que o alvo está usando, o ataque pode ser executado mesmo quando o invasor e o alvo estão conectados a SSIDs separados conectados pelo mesmo AP. Em alguns casos, disse Zhou, o invasor pode até estar conectado pela Internet.
“Mesmo quando o SSID convidado tem nome e senha diferentes, ele ainda pode compartilhar partes da mesma infraestrutura de rede interna do seu Wi-Fi principal”, explicou o pesquisador. “Em algumas configurações, essa infraestrutura compartilhada pode permitir conectividade inesperada entre dispositivos convidados e dispositivos confiáveis.”
Não, as defesas empresariais não protegerão você
Variações do ataque anulam o isolamento do cliente prometido pelos fabricantes de roteadores corporativos, que normalmente usam credenciais e uma chave mestra de criptografia exclusivas para cada cliente. Um desses ataques funciona em vários APs quando eles compartilham um sistema de distribuição com fio, como é comum em redes corporativas e de campus.
Em seu artigo, AirSnitch: Desmistificando e Quebrando o Isolamento de Clientes em Redes Wi-Fios pesquisadores escreveram:
Embora o roubo de portas tenha sido originalmente concebido para hosts no mesmo switch, mostramos que os invasores podem sequestrar mapeamentos MAC para portas em uma camada superior, ou seja, no nível do switch de distribuição – para interceptar o tráfego para vítimas associadas a diferentes APs. Isto aumenta o ataque para além dos seus limites tradicionais, quebrando a suposição de que APs separados proporcionam um isolamento eficaz.
Esta descoberta expõe um ponto cego no isolamento do cliente: mesmo APs separados fisicamente, transmitindo diferentes SSIDs, oferecem isolamento ineficaz se conectados a um sistema de distribuição comum. Ao redirecionar o tráfego no switch de distribuição, os invasores podem interceptar e manipular o tráfego das vítimas através dos limites do AP, expandindo o modelo de ameaça para redes Wi-Fi modernas.
Os pesquisadores demonstraram que seus ataques podem permitir a quebra de RAIOum protocolo de autenticação centralizado para segurança aprimorada em redes corporativas. “Ao falsificar um gateway MAC e conectar-se a um AP”, escreveram os pesquisadores, “um invasor pode roubar pacotes RADIUS de uplink”. O invasor pode quebrar um autenticador de mensagens usado para proteção de integridade e, a partir daí, aprender uma senha compartilhada. “Isso permite que o invasor configure um servidor RADIUS não autorizado e um ponto de acesso WPA2/3 não autorizado associado, que permite que qualquer cliente legítimo se conecte, interceptando assim seu tráfego e credenciais.”
Deseja saber mais sobre Segurança Clique Aqui!