雷鋒網(wǎng)5月18日消息，研究人員發(fā)現(xiàn)蘋(píng)果設(shè)備在PEAP認(rèn)證上存在缺陷，攻擊者可強(qiáng)迫蘋(píng)果設(shè)備接入惡意熱點(diǎn)。

研究人員稱，即使身份驗(yàn)證服務(wù)器（RADIUS）也不能證明密碼的真實(shí)性，該錯(cuò)誤依然允許攻擊者強(qiáng)制任何Apple設(shè)備（iOS，macOS或tvOS）與惡意接入點(diǎn)關(guān)聯(lián)。

以下是雷鋒網(wǎng)對(duì)報(bào)告內(nèi)容進(jìn)行的整理：

初遇CVE-2019-6203

報(bào)告撰寫(xiě)者dominic稱，去年我們?cè)跍?zhǔn)備Defcon的演講時(shí)，邁克爾（另一位研究人員）和我正嘗試實(shí)施hostapd-wpe的EAP攻擊試驗(yàn)。在此次攻擊中，身份驗(yàn)證服務(wù)器將接受任何用戶名，之后的動(dòng)作并非將證明密碼內(nèi)容返回到工作站的步驟（因?yàn)樗恢烂艽a），而是將EAP成功消息發(fā)送回工作站。

“對(duì)于邁克爾的執(zhí)著，我拒絕了很長(zhǎng)一段時(shí)間。因?yàn)槲矣X(jué)得這種攻擊方案不會(huì)奏效。因?yàn)樵贛SCHAPv2中，驗(yàn)證服務(wù)器實(shí)際上證明了密碼內(nèi)容回到?jīng)Q策端的過(guò)程，即使不能，我認(rèn)為決策段也會(huì)拒絕繼續(xù)執(zhí)行，畢竟這就是保障安全的重點(diǎn)?！?/p>

令dominic出乎意料的是，在唯一的一次測(cè)試中hostapd-wpe的EAP攻擊試驗(yàn)竟然成功了，幾乎全部接受實(shí)驗(yàn)的Apple設(shè)備（iPad，iPhone，Macbook）都成功連接到惡意接入點(diǎn)。由于WPE是由Brad Antoniewicz編寫(xiě)的，我只得向他詢問(wèn)問(wèn)題所在：

在這之后，dominic針對(duì)此次發(fā)現(xiàn)進(jìn)行了大量研究，并在4月份嘗試進(jìn)行了CVE-2019-6203漏洞攻擊的再現(xiàn)實(shí)驗(yàn)。

復(fù)現(xiàn)Apple漏洞

復(fù)現(xiàn)攻擊的第一步，是找出漏洞的所在之處。通常來(lái)說(shuō)，PEAP-MSCHAP v2的認(rèn)證過(guò)程分為兩個(gè)階段：

1、驗(yàn)證服務(wù)器身份和建立TLS隧道。服務(wù)端將向客戶端發(fā)送服務(wù)端的證書(shū)信息，通過(guò)后建立TLS隧道保護(hù)傳輸?shù)臄?shù)據(jù)。

2、在TLS隧道內(nèi)通過(guò)MSCHAP v2進(jìn)行雙向認(rèn)證。

在Frame 4、Frame 5中，驗(yàn)證者和客戶端的Response都是通過(guò)雙方的Challenge + passwordHash + Username計(jì)算得出的，并發(fā)向?qū)Ψ竭M(jìn)行身份驗(yàn)證。

那么，如何復(fù)現(xiàn)Apple漏洞攻擊呢？

2008年，安全研究員Joshua Wright編寫(xiě)了一個(gè)名為FreeRADIUS 的補(bǔ)丁。Wright的WPE攻擊試驗(yàn)同樣使用了繞過(guò)PEAP-MSCHAP v2的方式，最終，它可以通過(guò)建立虛假PEAP-MSCHAPv2熱點(diǎn)得到個(gè)人用戶請(qǐng)求，并在第二階段獲取Challenge、NTResponse 和 Username。

“與之類(lèi)似的原理，同樣可以應(yīng)用在此次研究中?！眃ominic稱，我用同樣的方式復(fù)現(xiàn)了PEAP認(rèn)證上的漏洞攻擊CVE-2019-6203。

具體方法如下：

安裝：

hostapd-wpehttps://github.com/OpenSecurityResearch/hostapd-wpe/blob/master/hostapd-wpe.patch 這是在Kali中使用“apt-get install hostapd-wpe”完成的，以下假定該方法。

使用-e開(kāi)關(guān)運(yùn)行它以啟用“EAP Success”

https://github.com/OpenSecurityResearch/hostapd-wpe/blob/master/README#L135

在iOS設(shè)備上，在Wifi下，連接到“hostapd-wpe”網(wǎng)絡(luò)。選擇信任證書(shū)?？梢允褂萌魏螒{據(jù)。

設(shè)備將連接，運(yùn)行dnsmasq以分發(fā)DHCP將顯示設(shè)備獲取IP。

使用以下示例配置嘗試使用wpa_supplicant進(jìn)行相同的客戶端連接將不起作用：

network = {

ssid =“hostapd-

wpe ” key_mgmt = WPA-EAP

eap = PEAP

phase2 =“auth = MSCHAPV2”

identity =“test”

password =“password”

ca_cert =“/ etc / hostapd-wpe / certs / ca.pem “

}

如此一來(lái)，將看到請(qǐng)求者將拒絕最終的消息驗(yàn)證者并斷開(kāi)連接。

修復(fù)問(wèn)題及解決方案

復(fù)現(xiàn)試驗(yàn)中，未打補(bǔ)丁的Apple設(shè)備跳過(guò)發(fā)送驗(yàn)證器響應(yīng)并且僅按照第7幀發(fā)送MSCHAPv2成功幀。這導(dǎo)致易受攻擊的Apple設(shè)備輕松在其狀態(tài)機(jī)制中跳過(guò)。隨后它會(huì)發(fā)送一個(gè)PEAP響應(yīng)——hostapd-wpe向其發(fā)送EAP-Success。

dominic稱，這意味著如果Apple設(shè)備連接到未知用戶密碼的惡意AP，它不僅會(huì)獲得NetNTLMv1質(zhì)詢響應(yīng)，設(shè)備也將連接到網(wǎng)絡(luò)。由于EAP的網(wǎng)絡(luò)通常是企業(yè)網(wǎng)絡(luò)，Apple設(shè)備會(huì)認(rèn)為它與之相關(guān)（沒(méi)有用戶交互），此時(shí)也可以進(jìn)行響應(yīng)式攻擊。

該缺陷影響2019年3月25日前的iOS、macOS、tvOS版本，包含MacBook、iPhone、iPad、Apple TV等多種蘋(píng)果設(shè)備。但令dominic感到困惑的是，已修補(bǔ)的設(shè)備在PEAP，MSCHAPv2和WPA2級(jí)別上表現(xiàn)出完全相同的行為，即設(shè)備仍然連接到網(wǎng)絡(luò)，在某些情況下甚至?xí)?qǐng)求DHCP。這是一個(gè)例子：

相反，Apple 在連接后使設(shè)備與網(wǎng)絡(luò)斷開(kāi)連接。設(shè)備顯示“無(wú)法連接”錯(cuò)誤，并且設(shè)備上顯示的日志條目顯示：

Dominic解釋道，這有點(diǎn)像一名保安在守護(hù)一座大樓，一旦有人進(jìn)去無(wú)論是誰(shuí)都會(huì)被全部趕出去。雖然它具有解決問(wèn)題的效果，但很讓人擔(dān)心會(huì)不會(huì)暴漏出其他危險(xiǎn)訊號(hào)。

“然而，在測(cè)試修復(fù)后的系統(tǒng)時(shí)，我確實(shí)注意到一個(gè)異常值，當(dāng)在設(shè)備連接但導(dǎo)出不同的PMK時(shí)，握手的第二個(gè)消息中由MIC證明（這就是repo中的WPA代碼所用的）出現(xiàn)了異常。當(dāng)然，我覺(jué)得這只是一次偶然，因?yàn)镻MK來(lái)自外部TLS會(huì)話并且未啟用加密綁定，這應(yīng)該是沒(méi)有可能的?！?/p>

目前，Dominic仍不能確認(rèn)這個(gè)問(wèn)題是否真的存在，他表示會(huì)在之后的研究中用多臺(tái)蘋(píng)果設(shè)備展開(kāi)試驗(yàn)，找出答案。

建議：

驗(yàn)證在最終EAP-Success消息中發(fā)送的消息驗(yàn)證器，并且不允許iOS / macOS設(shè)備連接到無(wú)法證明用戶密碼知識(shí)的惡意接入點(diǎn)。

可以在以下位置找到執(zhí)行此驗(yàn)證的wpa_supplicant示例：

https ：//w1.fi/cgit/hostap/tree/src/eap_peer/mschapv2.c#n112

參考來(lái)源：sensepost；freebuf雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。