La nueva vulnerabilidad Kr00k permite a los atacantes descifrar paquetes WiFi


Chip WiFi

Imagen: Frank Wang

Hoy, en la conferencia de seguridad RSA 2020 en San Francisco, los investigadores de seguridad de la compañía eslovaca de antivirus ESET presentarán detalles sobre una nueva vulnerabilidad que afecta las comunicaciones WiFi.

Llamado Kr00k, un atacante puede aprovechar este mistake para interceptar y descifrar algún tipo de tráfico de purple WiFi (basándose en conexiones WPA2).

Según ESET, Kr00k afecta a todos los dispositivos con capacidad WiFi que se ejecutan en chips Wi-Fi Broadcom y Cypress. Estos son dos de los conjuntos de chips WiFi más populares del mundo, y están incluidos en casi todo, desde computadoras portátiles hasta teléfonos inteligentes, y desde puntos de acceso a parlantes inteligentes y otros dispositivos IoT.

Los investigadores de ESET dijeron que probaron personalmente y confirmaron que Kr00k impacta dispositivos de Amazon (Echo, Kindle), Apple (Iphone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3) y Xiaomi (Redmi), pero también puntos de acceso de Asus y Huawei.

En un comunicado de prensa de hoy, ESET dijo que cree que más de mil millones de dispositivos son vulnerables a Kr00k, y consideran que este número es «una estimación conservadora».

¿Qué es Kr00k?

A nivel técnico (PDF), Kr00k es solo un mistake, como muchos otros errores que se descubren diariamente en el application que todos usamos.

La diferencia es que Kr00k afecta el cifrado utilizado para proteger los paquetes de datos enviados a través de una conexión WiFi.

Por lo common, estos paquetes están encriptados con una clave única que depende de la contraseña WiFi del usuario. Sin embargo, los investigadores de ESET dicen que para los chips Broadcom y Cypress Wi-Fi, esta clave se restablece a un valor de cero durante un proceso llamado «disociación».

kr00k-key.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/02/26/f02c5845-c747-4793-a00a-6b77de3eaf4b/kr00k-key.png

Imagen: ESET

La disociación es algo que ocurre naturalmente en una conexión WiFi. Se refiere a una desconexión temporal que generalmente ocurre debido a una señal WiFi baja.

Los dispositivos WiFi entran en estados desasociados muchas veces al día, y se configuran automáticamente para volver a conectarse a la red utilizada anteriormente cuando esto sucede.

Los investigadores de ESET dicen que los atacantes pueden forzar a los dispositivos a un estado desasociado prolongado, recibir paquetes WiFi destinados al dispositivo atacado y luego usar el mistake Kr00k para descifrar el tráfico WiFi usando la clave de cero.

kr00k attack "src =" https://zdnet3.cbsistatic.com/hub/i/2020/02/26/9bc730e4-e35d-4dc6-a42b-c7258a49a6f3/kr00k-attack.png

Imagen: ESET

Este escenario de ataque permite a los piratas informáticos interceptar y descifrar activamente los paquetes de WiFi, que normalmente se consideran seguros.

La buena noticia es que el mistake Kr00k solo afecta las conexiones WiFi que usan los protocolos de seguridad WPA2-Personalized o WPA2-Company WiFi, con encriptación AES-CCMP.

Esto significa que si united states un dispositivo con un chipset Broadcom o Cypress WiFi, puede protegerse contra los ataques utilizando el nuevo protocolo de autenticación WPA3 WiFi.

Los parches ya deberían estar disponibles para la mayoría de los dispositivos

Además, ESET también ha trabajado durante los últimos meses para divulgar responsablemente el mistake Kr00k a Boadcom, Cypress y todas las demás empresas afectadas.

«Según algunas publicaciones de proveedores y nuestras propias pruebas (no exhaustivas), los dispositivos deberían haber recibido parches para la vulnerabilidad en el momento de la publicación», dijeron hoy los investigadores de ESET.

«Dependiendo del tipo de dispositivo, esto solo puede significar asegurarse de que estén instaladas las últimas actualizaciones de SO o software (dispositivos Android, Apple y Home windows algunos dispositivos IoT), pero puede requerir una actualización de firmware (puntos de acceso, enrutadores y algunos dispositivos IoT). «

Los usuarios pueden verificar si recibieron parches Kr00k revisando los registros de cambios del SO / firmware de su dispositivo para encontrar soluciones CVE-2019-15126, que es la ID única asignada para rastrear este mistake.

Sin embargo, un punto importante sobre Kr00k es que el mistake no conduce a un compromiso whole de las comunicaciones de un usuario. El error puede ser explotado para romper el cifrado utilizado para proteger el canal WiFi. Si las comunicaciones originales del usuario también estuvieran encriptadas, como acceder a sitios net a través de HTTPS, usar Tor o clientes de MI encriptados, esas comunicaciones seguirían encriptadas incluso después de un ataque de Kr00k.

Además, el error no se puede usar como parte de ataques automatizados de botnet, requiere proximidad física a una víctima (rango de red WiFi), y Kr00k no puede recuperar transmisiones de comunicaciones grandes y largas sin que el usuario notice problemas con sus comunicaciones WiFi.

No tan malo como KRACK

Con todo, la vulnerabilidad Kr00k debería ser más fácil de proteger que KRACK, una vulnerabilidad importante que impactó el protocolo WiFi WPA2 y obligó a la mayoría de los proveedores de dispositivos a cambiar a WPA3 de forma predeterminada.

Más tarde se descubrió que un nuevo ataque KRACK, llamado Dragonblood, afectaba incluso a algunas conexiones WPA3 más nuevas, pero este nuevo ataque no afectó a todo el ecosistema WiFi como lo hizo el ataque KRACK first.

Los investigadores de ESET dijeron que descubrieron Kr00k mientras observaban los efectos devastadores del ataque KRACK sin embargo, los dos, KRACK y Kr00K, no deben considerarse iguales.

kr00k-krack.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/02/26/7bc326fb-2fa0-4454-a142-40e5560defbf/kr00k-krack.png

Imagen: ESET



Enlace a la noticia authentic