La nueva vulnerabilidad Kr00k permite a los atacantes descifrar paquetes WiFi



Hoy, en la conferencia de seguridad RSA 2020 en San Francisco, los investigadores de seguridad de la compañía eslovaca de antivirus ESET presentarán detalles sobre una nueva vulnerabilidad que afecta las comunicaciones WiFi. Llamado Kr00k, este error puede ser explotado por un atacante para interceptar y descifrar algún tipo de tráfico de red WiFi (basándose en conexiones WPA2). Según ESET, Kr00k afecta a todos los dispositivos con capacidad WiFi que se ejecutan en chips Wi-Fi Broadcom y Cypress. Estos son dos de los conjuntos de chips WiFi más populares del mundo, y se incluyen en casi todo, desde computadoras portátiles hasta teléfonos inteligentes, y desde puntos de acceso a altavoces inteligentes y otros dispositivos IoT. Los investigadores de ESET dijeron que probaron personalmente y confirmaron que Kr00k afecta a dispositivos de Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3) y Xiaomi (Redmi), pero también puntos de acceso de Asus y Huawei. En un comunicado de prensa de hoy, ESET dijo que cree que más de mil millones de dispositivos son vulnerables a Kr00k, y consideran que este número es "una estimación conservadora". A nivel técnico [PDF], Kr00k es solo un error, como muchos otros errores que se descubren a diario en el software que todos usamos. La diferencia es que Kr00k afecta el cifrado utilizado para proteger los paquetes de datos enviados a través de una conexión WiFi. Por lo general, estos paquetes se cifran con una clave única que depende de la contraseña de WiFi del usuario. Sin embargo, los investigadores de ESET dicen que para los chips Wi-Fi Broadcom y Cypress, esta clave se restablece a un valor de cero durante un proceso llamado "disociación". Imagen: La disociación de ESET es algo que ocurre naturalmente en una conexión WiFi. Se refiere a una desconexión temporal que generalmente ocurre debido a una señal WiFi baja.
Los dispositivos WiFi entran en estados desasociados muchas veces al día, y se configuran automáticamente para volver a conectarse a la red utilizada anteriormente cuando esto sucede. Los investigadores de ESET dicen que los atacantes pueden forzar a los dispositivos a un estado desasociado prolongado, recibir paquetes WiFi destinados al dispositivo atacado y luego usar el error Kr00k para descifrar el tráfico WiFi usando la clave de cero. Imagen: ESET Este escenario de ataque permite a los piratas informáticos interceptar y descifrar activamente los paquetes WiFi, que normalmente se consideran seguros.
La buena noticia es que el error Kr00k solo afecta las conexiones WiFi que usan los protocolos de seguridad WPA2-Personal o WPA2-Enterprise WiFi, con encriptación AES-CCMP. Esto significa que si usa un dispositivo con un chipset Broadcom o Cypress WiFi, puede protegerse contra los ataques utilizando el nuevo protocolo de autenticación WPA3 WiFi. Además, ESET también ha trabajado durante los últimos meses para divulgar responsablemente el error Kr00k a Boadcom, Cypress y todas las demás empresas afectadas.
"Según algunas publicaciones de proveedores y nuestras propias pruebas (no exhaustivas), los dispositivos deberían haber recibido parches para la vulnerabilidad en el momento de la publicación", dijeron hoy los investigadores de ESET. "Dependiendo del tipo de dispositivo, esto solo puede significar asegurarse de que estén instaladas las últimas actualizaciones de SO o software (dispositivos Android, Apple y Windows; algunos dispositivos IoT), pero puede requerir una actualización de firmware (puntos de acceso, enrutadores y algunos dispositivos IoT). " Los usuarios pueden verificar si recibieron parches Kr00k revisando los registros de cambios de SO / firmware de su dispositivo para ver las correcciones contra CVE-2019-15126, que es la ID única asignada para rastrear este error.
Sin embargo, un punto importante sobre Kr00k es que el error no conduce a un compromiso total de las comunicaciones de un usuario. El error puede ser explotado para romper el cifrado utilizado para proteger el canal WiFi. Si las comunicaciones originales del usuario también estuvieran encriptadas, como acceder a sitios web a través de HTTPS, usar Tor o clientes de MI encriptados, esas comunicaciones seguirían encriptadas incluso después de un ataque de Kr00k.
Además, el error no se puede usar como parte de ataques automatizados de botnet, requiere proximidad física a una víctima (rango de red WiFi), y Kr00k no puede recuperar transmisiones de comunicaciones grandes y largas sin que el usuario note problemas con sus comunicaciones WiFi. Con todo, la vulnerabilidad Kr00k debería ser más fácil de proteger que KRACK, una vulnerabilidad importante que impactó el protocolo WiFi WPA2 y obligó a la mayoría de los proveedores de dispositivos a cambiar a WPA3 de forma predeterminada. Más tarde se descubrió que un nuevo ataque KRACK, llamado Dragonblood, afectaba incluso a algunas conexiones WPA3 más nuevas, pero este nuevo ataque no afectó a todo el ecosistema WiFi como lo hizo el ataque KRACK original. Los investigadores de ESET dijeron que descubrieron Kr00k mientras observaban los efectos devastadores del ataque KRACK; sin embargo, los dos, KRACK y Kr00K, no deben considerarse iguales. Imagen: ESET pag VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı