近日,字节跳动无恒实验室在无线安全领域的研究成果获得认可,其《Assessing Certificate Validation User Interfaces of WPA Supplicants》论文入选计算机网络领域国际顶会MobiCom2022。
MobiCom是ACM SIGMobile开办的无线和移动通信领域的顶级会议,自1995年开始,每年举办一次,距今已有28年的历史。作为CCF A类会议,MobiCom论文一贯具有较高录取标准,录用率保持在15%左右的水平。据悉,本次入选的论文由无恒实验室联合昆士兰大学、新加坡国立大学合作完成。
10月20日,论文项目组成员A/Prof Guangdong Bai、Dr Kailong Wang参加MobiCom2022并发表演讲,详细地向参会观众介绍整个研究过程。论文项目组研究发现,企业Wi-Fi中存在大量的风险Wi-Fi终端设备,由于漏洞或配置错误,这些终端设备可以在用户无感知情况下被攻击者劫持,并获取到明文企业Wi-Fi密码,从而使攻击者直接接入企业内网。
随着移动互联网的高速发展和移动终端的广泛普及,Wi-Fi网络的安全对于企业十分重要。目前,无恒实验室已将相关漏洞报给对应终端企业,完成了修复。
此外,无恒实验室也在企业内部开发了一个检测系统,该系统能够实时检测出将要接入企业Wi-Fi网络中风险终端,提前发现风险并提醒员工解决问题甚至阻断连接。目前该系统在内部测试中,后续无恒实验室希望通过开源的方式与行业一道分享他们的安全治理经验。
一、论文解读:黑客如何无感知劫持设备并接入企业内网的?
1. 终端设备是如何被劫持到黑客伪造的企业Wi-Fi?
搭建同名企业Wi-Fi 是完成WPA-Enterprise攻击的前提,基本流程如下:假设某公司员工通过连接名为Foo Inc的WPA-Enterprise网络接入公司内网。黑客在员工经常出没的场所,例如楼下的咖啡厅精心构造一个同样名称为Foo Inc的企业Wi-Fi,由于存储在员工手机和电脑上的配置只记录了企业Wi-Fi名称为“Foo Inc”,当员工经过黑客搭建的“Foo Inc”附近时,员工的手机和电脑便会主动尝试连接该Wi-Fi。
目前EAP认证框架中的PEAP、TLS、TTLS、FAST认证协议均依赖TLS隧道保护其安全性。这些协议首先会在Wi-Fi网络和设备之间建立一个TLS隧道,这个TLS隧道和HTTPS中的TLS隧道类似。Wi-Fi网络侧会下发Authenticator服务端证书,只有终端设备验证其真实性后才进行凭据交换。理论上攻击者无法伪造服务端证书,终端设备也就不会和黑客伪造的Wi-Fi建立连接。然而在实际情况中,存在着错误配置和安全漏洞的问题,导致终端设备与伪造的Wi-Fi建立起TLS连接。比如
1. 错误配置
a. 一种情况是有一些Android设备配置PEAP企业无线网络时,默认不对服务端证书进行校验,例如CVE-2020-1836。另一种情况是,大量企业在构建Wi-Fi时,引入了零信任思想并搭建私有CA,以便增强安全性,而员工要配置企业Wi-Fi,首先要将CA根证书导入设备,再进行配置。这些操作较为复杂,员工通常图省事,选择不校验。这些情况都会导致用户的手机能够信任伪造的证书直接连接到黑客伪造的Wi-Fi。
b. 在一些Linux系统的IoT设备中,配置校验服务端证书的方式复杂,需要上传一份根证书,并编写配置文件。大部分用户也会选择直接连接而不校验服务端证书。
2. 系统安全漏洞
a. 如CVE-2020-0119:Android设备在使用addOrUpdateNetworkInternal函数添加企业无线网配置时,会出现证书写入失败的情况。这导致Android设备无法校验服务端证书。在这种漏洞影响下导致一些设备在即使配置正确的情况下也能够连接黑客伪造的Wi-Fi。
2. 攻击PEAP-MSCHAPV2/EAP-TTLS 协议
上面的漏洞建立“安全”隧道后,攻击者会实施后续的各类攻击方式。下面介绍下攻击者常用的攻击方式,这些攻击方式都依赖于上面的默认不验证证书漏洞:
● 针对PEAP认证方式的哈希窃取攻击
在2012年的Defcon 20上,议题“Defeating PPTP VPNs and WPA2 Enterprise with MS-CHAPv2”提出了针对MSCHAPV2协议的攻击。在对配置PEAP-MSCHAPV2协议的设备进行钓鱼攻击后,能够获得用户密码的哈希。传统方法破解哈希所用的时间很长,而该议题提出的方法可以在一天内完成对密码哈希的破解。
● 针对PEAP认证方式的GTC降级攻击
在2013年的Defcon 21上,安全研究人员在议题“BYO-Disaster and why corporate security still sucks”上就提出了GTC降级攻击。直到2020年,无恒实验室仍然在Android和wpa_supplicant上发现了导致GTC降级攻击的新漏洞,漏洞编号:CVE-2020-0201,该漏洞的根因是有漏洞的终端设备默认不配置阶段二的协议。
如果在“安全”隧道建立之后,黑客伪造的Wi-Fi在阶段二的协议协商阶段选择GTC协议而不是MSCHAPV2协议。错误配置的终端会将MSCHAPV2的密码当成GTC协议的TOKEN上传。这样黑客就获取到了MSCHAPV2的明文密码,这种攻击方式简单高效,效果致命。更危险的是,有一些企业将Wi-Fi认证与SSO单点登录打通,Wi-Fi密码就是SSO密码,这样就拿到了企业员工的所有权限。
EAP-TTLS由于协议原理与PEAP类似, 上面两种攻击方式同样有效。
3. 攻击EAP-TLS 协议
EAP-TLS采用双向证书认证, 如果终端设备没有配置CA对Authenticator(服务端)进行认证,同样可以被劫持,因为是否验证用户证书取决于服务端,而服务端此时是黑客掌控的。后续的攻击就与连接到咖啡馆的钓鱼Wi-Fi类似了,在这里也可以伪造企业SSO认证页面,骗取密码。
综上,这些攻击的后果是直接导致用户密码、用户哈希等敏感信息泄露,最终导致企业内网被黑客入侵。
想观看本次演讲完整论文的朋友,欢迎点击自取:
https://baigd.github.io/files/MobiCom22.pdf
二、劫持发生的根本原因在于终端设备错误信任了黑客伪造的证书
随着移动互联网的高速发展和移动终端的广泛普及,人们对无线网络的需求越来越强烈,同时对于企业移动办公来说,无线网络安全更为重要。如何保障企业Wi-Fi网络的安全,更好的提前发现安全风险,避免攻击发生,这对所有企业网络安全从业者提出了更高的挑战。如上研究所说,对抗这些攻击对于保障WPA-Enterprise的安全性起着重要的作用,2020年无恒实验室将上述漏洞报给相关终端企业,目前已经修复,但是如果企业员工使用的设备从来没有升级过固件,或者是员工存在错误配置的情况,还是会存在被攻击的风险。
无恒实验室在研究针对WPA-Enterprise的攻击后发现,整个攻击能够实施的根本原因在于终端设备由于各种原因错误信任了黑客伪造的证书。针对这一问题,无恒实验室目前在企业内部开发了一个检测系统,该系统能够实时检测出将要接入企业Wi-Fi网络中风险终端,提前发现风险并提醒员工解决问题甚至阻断连接。目前该系统在内部测试中,后续无恒实验室希望通过开源的方式与行业一道分享他们的治理经验。
三、关于无恒实验室
无恒实验室(https://security.bytedance.com/security-lab)是由字节跳动资深安全研究人员组成的专业攻防研究实验室,致力于为字节跳动旗下产品与业务保驾护航。通过实战演练、漏洞挖掘、黑产打击、应急响应等手段,不断提升公司基础安全、业务安全水位,极力降低安全事件对业务和公司的影响程度。无恒实验室希望持续与业界持续共享研究成果,协助企业避免遭受安全风险,亦望能与业内同行共同合作,为网络安全行业的发展做出贡献。