Por Thiago Alvarenga
CONSIDERAÇÕES SOBRE O ATAQUE WPA/WPA2 - PMKID
Este artigo é destinado aos que já fazem a algum tipo de pentest em redes wifi. Deste modo, não será explanado os passos com um todos os detalhes, dado que estaria partindo para outro tipo de post.
Sobre um ponto de vista genérico, não há muito o que dizer sobre este método, isto ao compará-lo com outras técnicas já existentes. Em um modo geral, este ataque também usará a força bruta para a quebra da senha, talvez seja um pouco mais rápido fazer a quebra do código, mas isto ainda é discutível em alguns fóruns.
Uma característica importante nesta nova técnica é a simplicidade na captura do handshake, visto que a sua captura acontece independente de usuários conectados no router wifi.
Usando recursos de roaming Pairwise Master Key Identifier (PMKID) ativos, é possível crakear os protocolos WPA2 e WPA. Veja abaixo o comentário do especialista ao encontrar esta brecha e criar uma nova técnica:
Usando recursos de roaming Pairwise Master Key Identifier (PMKID) ativos, é possível crakear os protocolos WPA2 e WPA. Veja abaixo o comentário do especialista ao encontrar esta brecha e criar uma nova técnica:
“This attack was discovered accidentally while looking for new ways to attack the new WPA3 security standard. WPA3 will be much harder to attack because of its modern key establishment protocol called “Simultaneous Authentication of Equals” (SAE).” Steube wrote in a post.
“The main difference from existing attacks is that in this attack, capture of a full EAPOL 4-way handshake is not required. The new attack is performed on the RSN IE (Robust Security Network Information Element) of a single EAPOL frame.”
Usando o protocolo EAPOL (Protocolo de autenticação), por vias habituais como método de ataque, é utilizado o handsheke completo de 4 vias, já o novo método beneficia-se do RSN IE (Robust Secure Network) na troca de quadros da camada 2, que por conseguinte o RSN transmite uma mensagem do RSN IE dentro da rede. Você pode se perguntar, o que é este protocolo e de forma singela pode-se afirmar que o protocolo RSN é destinado a estabelecer comunicações seguras numa rede sem fios 802.11, ele faz parte do padrão 802.11i (WPA).
Como pode ser evidenciado na imagem acima, o RSN transporta consigo o PMKID que em termos práticos e leigo, é o mesmo que afirmar: O método antigo um usuário precisava estar conectado em um roteador, o invasor mandava um quadro de desassociação para este usuário e ele tentaria conectar novamente levando consigo um Cofre, este cofre era capturado e tratado em laboratório utilizando uma GPU de grande potência em um hascat, por exemplo. Agora, o invasor vai até o router sem a necessidade de encontrar um usuário e forçâ-lo a sair do rede wifi, com esta técnica o invasor busca esta chave no próprio router
Técnica, passo a passo:
Step 1 — An attacker can use a tool like hcxdumptool (v4.2.0 or higher) to request the PMKID from the targeted access point and dump the received frame to a file.
$ ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 –enable_statusStep 2 — Run hcxpcaptool tool to convert the captured data from pcapng format to a hash format accepted by hashcat
$ ./hcxpcaptool -z test.16800 test.pcapng
Step 3 — Use Hashcat (v4.2.0 or higher) password cracking tool to obtain the WPA PSK (Pre-Shared Key) password that is the password of the target wireless network.
$ ./hashcat -m 16800 test.16800 -a 3 -w 3 ‘?l?l?l?l?l?lt!’The time to crack the password depends on its complexity.
“At this time, we do not know for which vendors or for how many routers this technique will work, but we think it will work against all 802.11i/p/q/r networks with roaming functions enabled (most modern routers).” Steube concluded.
“The main advantages of this attack are as follow:
No more regular users required – because the attacker directly communicates with the AP (aka “client-less” attack)
No more waiting for a complete 4-way handshake between the regular user and the AP
No more eventual retransmissions of EAPOL frames (which can lead to uncrackable results)
No more eventual invalid passwords sent by the regular user
No more lost EAPOL frames when the regular user or the AP is too far away from the attacker
No more fixing of nonce and replaycounter values required (resulting in slightly higher speeds)
No more special output format (pcap, hccapx, etc.) – final data will appear as regular hex encoded string”
Formas de conter: Usando um router da cisco, é possível fazer algumas proteções para evitar este tipo de ataque. Veja neste link: https://www.cisco.com/c/pt_br/support/docs/wireless-mobility/wireless-lan-wlan/212576-configure-802-11w-management-frame-prote.pdf
É possível utilizar um router customizável também, um DD-WRT ou um OPEN-Wrt.
Fonte:
https://seguranca-informatica.pt/como-hackear-a-password-wifi-de-redes-wpa-wpa2-novo-ataque/#.XGIRQjNKi01
https://www.google.com/search?q=Novo+ataque+ao+WPA+%2F+WPA2+usando+o+PMKID&rlz=1C1CHBD_pt-PTBR828BR829&oq=Novo+ataque+ao+WPA+%2F+WPA2+usando+o+PMKID&aqs=chrome..69i57&sourceid=chrome&ie=UTF-8