contraseña Débileditar
clave Pre-compartida WPA y WPA2 siguen siendo vulnerables a los ataques de descifrado de contraseñas si los usuarios confían en una contraseña o frase de contraseña débil. Los hashes de contraseña de WPA se siembran del nombre de SSID y su longitud; existen tablas rainbow para los 1.000 SSIDs de red más importantes y una multitud de contraseñas comunes, que requieren solo una búsqueda rápida para acelerar el cracking de WPA-PSK.
se puede intentar forzar contraseñas simples utilizando la Suite Aircrack a partir del apretón de manos de autenticación de cuatro vías intercambiado durante la asociación o la re-autenticación periódica.,
WPA3 reemplaza los protocolos criptográficos susceptibles de análisis fuera de línea con protocolos que requieren interacción con la infraestructura para cada contraseña adivinada, supuestamente colocando límites temporales en el número de conjeturas. Sin embargo, los defectos de diseño en WPA3 permiten a los atacantes lanzar ataques de fuerza bruta de manera plausible (ver ataque de sangre de dragón).,
la Falta de avance secrecyEdit
WPA y WPA2 no proporciona confidencialidad directa, lo que significa que una vez que un negativas persona descubre la clave pre-compartida, que potencialmente puede descifrar todos los paquetes cifrados usando ese PSK transmitida en el futuro e incluso el pasado, lo que podría ser pasiva y silenciosa y recogida por el atacante. Esto también significa que un atacante puede capturar y descifrar silenciosamente los paquetes de otros si se proporciona un punto de acceso protegido por WPA de forma gratuita en un lugar público, porque su contraseña generalmente se comparte con cualquier persona en ese lugar., En otras palabras, WPA solo protege de los atacantes que no tienen acceso a la contraseña. Debido a eso, es más seguro usar Transport Layer Security (TLS) o similar además de eso para la transferencia de cualquier dato confidencial. Sin embargo, a partir de WPA3, este problema se ha abordado.
spoofing de paquetes WPA y descifradoeditar
Mathy Vanhoef y Frank Piessens mejoraron significativamente los ataques WPA-TKIP de Erik Tews y Martin Beck. Demostraron cómo inyectar un número arbitrario de paquetes, con cada paquete conteniendo como máximo 112 bytes de carga útil., Esto se demostró mediante la implementación de un escáner de puertos, que se puede ejecutar contra cualquier cliente utilizando WPA-TKIP. Además, mostraron cómo descifrar paquetes arbitrarios enviados a un cliente. Mencionaron que esto se puede usar para secuestrar una conexión TCP, lo que permite a un atacante inyectar JavaScript malicioso cuando la víctima visita un website.In por el contrario, el ataque Beck-Tews solo podía descifrar paquetes cortos con contenido mayormente conocido, como mensajes ARP, y solo permitía la inyección de 3 a 7 paquetes de como máximo 28 bytes. El ataque Beck-Tews también requiere Calidad de servicio (como se define en 802.,11e) para ser activado, mientras que el ataque Vanhoef-Piessens no lo hace. Ninguno de los ataques conduce a la recuperación de la clave de sesión compartida entre el cliente y el punto de acceso. Los autores dicen que el uso de un intervalo corto de reenviamiento puede prevenir algunos ataques, pero no todos, y recomiendan encarecidamente cambiar de TKIP a CCMP basado en AES.
Halvorsen y otros muestran cómo modificar el ataque Beck-Tews para permitir la inyección de 3 a 7 paquetes con un tamaño máximo de 596 bytes. La desventaja es que su ataque requiere mucho más tiempo para ejecutarse: aproximadamente 18 minutos y 25 segundos., En otro trabajo, Vanhoef y Piessens mostraron que, cuando se usa WPA para cifrar paquetes de difusión, su ataque original también puede ser ejecutado. Esta es una extensión importante, ya que sustancialmente más redes usan WPA para proteger paquetes de difusión, que para proteger paquetes unicast. El tiempo de ejecución de este ataque es en promedio alrededor de 7 minutos, en comparación con los 14 minutos del ataque original de Vanhoef-Piessens y Beck-Tews.,
las vulnerabilidades de TKIP son significativas en que WPA-TKIP se había considerado una combinación extremadamente segura; de hecho, WPA-TKIP sigue siendo una opción de configuración en una amplia variedad de dispositivos de enrutamiento inalámbrico proporcionados por muchos proveedores de hardware. Una encuesta en 2013 mostró que el 71% todavía permite el uso de TKIP, y el 19% apoya exclusivamente TKIP.
WPS PIN recoveryEdit
un defecto de seguridad más grave fue revelado en diciembre de 2011 por Stefan Viehböck que afecta a los routers inalámbricos con la función Wi-Fi Protected Setup (WPS), independientemente del método de Cifrado que utilicen., Los modelos más recientes tienen esta característica y la habilitan de forma predeterminada. Muchos fabricantes de dispositivos Wi-Fi de consumo habían tomado medidas para eliminar el potencial de las opciones débiles de frases de contraseña promoviendo métodos alternativos de generar y distribuir automáticamente claves fuertes cuando los usuarios agregan un nuevo adaptador o dispositivo inalámbrico a una red. Estos métodos incluyen presionar botones en los dispositivos o ingresar un PIN de 8 dígitos.
La Wi-Fi Alliance estandarizó estos métodos como Wi-Fi Protected Setup; sin embargo, la característica de PIN, tal como se implementó ampliamente, introdujo un nuevo defecto de seguridad importante., La falla permite a un atacante remoto recuperar el PIN WPS y, con él, la contraseña WPA/WPA2 del enrutador en unas pocas horas. Se ha instado a los usuarios a desactivar la función WPS, aunque esto puede no ser posible en algunos modelos de enrutador. Además, el PIN está escrito en una etiqueta en la mayoría de los enrutadores Wi-Fi con WPS, y no se puede cambiar si se ve comprometido.
WPA3 presenta una nueva alternativa para la configuración de dispositivos que carecen de capacidades de interfaz de usuario suficientes al permitir que los dispositivos cercanos sirvan como una interfaz de usuario adecuada para fines de aprovisionamiento de red, mitigando así la necesidad de WPS.,
MS-CHAPv2 y la falta de validación CN del servidor AAAEDITAR
se han encontrado varias debilidades en MS-CHAPv2, algunas de las cuales reducen severamente la complejidad de los ataques de fuerza bruta, haciéndolos viables con hardware moderno. En 2012 la complejidad de romper MS-CHAPv2 se redujo a la de romper una sola clave DES, trabajo de Moxie Marlinspike y Marsh Ray. Moxie aconsejó: «las empresas que dependen de las propiedades de autenticación mutua de MS-CHAPv2 para la conexión a sus servidores WPA2 Radius deben comenzar inmediatamente a migrar a otra cosa.,»
Los métodos EAP Tunelizados que utilizan TTLS o PEAP que cifran el intercambio MSCHAPv2 se implementan ampliamente para proteger contra la explotación de esta vulnerabilidad. Sin embargo, las implementaciones prevalentes de clientes WPA2 durante la década de 2000 eran propensas a una configuración incorrecta por parte de los usuarios finales, o en algunos casos (por ejemplo, Android), carecían de cualquier forma accesible por el usuario para configurar correctamente la validación del certificado de servidor AAA CNs. Esto amplió la relevancia de la debilidad original en MSCHAPv2 dentro de los escenarios de ataque MiTM., Bajo las pruebas de cumplimiento más estrictas de WPA2 anunciadas junto con WPA3, se requerirá que el software cliente certificado cumpla con ciertos comportamientos relacionados con la validación del certificado AAA.
Hole196Edit
Hole196 es una vulnerabilidad en el protocolo WPA2 que abusa de la clave temporal de grupo compartido (GTK). Se puede utilizar para llevar a cabo ataques de hombre en el medio y de denegación de servicio. Sin embargo, asume que el atacante ya está autenticado contra Access Point y por lo tanto en posesión del GTK.,
Predictable Group Temporal Key (GTK)Edit
en 2016 se demostró que los estándares WPA y WPA2 contienen un generador de números aleatorios (RNG) expositivo inseguro. Los investigadores mostraron que, si los proveedores implementan el RNG propuesto, un atacante es capaz de predecir la clave de grupo (GTK) que se supone que es generada aleatoriamente por el punto de Acceso (AP). Además, mostraron que la posesión del GTK permite al atacante inyectar cualquier tráfico en la red, y permitió al atacante descifrar el tráfico de Internet unicast transmitido a través de la red inalámbrica., Demostraron su ataque contra un enrutador Asus RT-AC51U que utiliza los controladores fuera del árbol de MediaTek, que generan el GTK por sí mismos, y mostraron que el GTK se puede recuperar en dos minutos o menos. Del mismo modo, demostraron que las claves generadas por los demonios Broadcom access que se ejecutan en VxWorks 5 y posteriores se pueden recuperar en cuatro minutos o menos, lo que afecta, por ejemplo, a ciertas versiones de Linksys WRT54G y ciertos modelos de Apple AirPort Extreme. Los proveedores pueden defenderse contra este ataque mediante el uso de un RNG seguro., Al hacerlo, Hostapd que se ejecuta en núcleos Linux no es vulnerable a este ataque y, por lo tanto, los enrutadores que ejecutan instalaciones típicas de OpenWrt o Lede no presentan este problema.
KRACK attackEdit
en octubre de 2017, se publicaron los detalles del ataque KRACK (Key Reinstallation Attack) en WPA2. El ataque KRACK se cree que afecta a todas las variantes de WPA y WPA2; sin embargo, las implicaciones de seguridad varían entre las implementaciones, dependiendo de cómo los desarrolladores individuales interpretan una parte mal especificada del estándar., Los parches de Software pueden resolver la vulnerabilidad, pero no están disponibles para todos los dispositivos.
dragonblood attackEdit
en abril de 2019, se encontraron graves defectos de diseño en WPA3 que permiten a los atacantes realizar ataques de degradación y ataques de canal lateral, lo que permite forzar brutalmente la frase de contraseña, así como lanzar ataques de denegación de servicio en estaciones base Wi-Fi.