Vulnerabilidad Hole 196

Universidad Politécnica Salesiana

Jonnathan Andrade
Jandradea5@est.ups.edu.ec
Ingeniería de Sistemas

Introducción

En el mundo de las redes inalámbricas con el paso del tiempo han surgido diversos problemas y uno de

ellos es el tema de la seguridad de la información tanto personal como empresarial que puede ser vulnerada

por individuos mal intencionados con el fin de obtener esa información para poder manipularla como crean

conveniente estos invasores conocidos como hackers, para evitar este tipo de problemas se creó el protocolo

de seguridad WPA2 que describe un modo de autenticación basado en la estructura EAP que bien en si no

es un mecanismo de autenticación sino de transporte para diferentes protocolos. Durante la última década

la utilización de este tipo de cifrado era algo seguro poder proteger nuestras redes sin embargo con el

descubrimiento de vulnerabilidad hole 196 se a comprobado que la información puede volver a verse

comprometida una vez más.

Problemática:

En este documento vamos a hablar acerca de la “vulnerabilidad hole 196” esta vulnerabilidad expone a las

redes WI-FI seguras por lo que se da en WPA2 Enterprise y WPA2-PSK debido a que es un problema

fundamental en el diseño del protocolo, la condición para que sea explotada es mediante un ataque interno

permitiendo que cualquiera con acceso autorizado a la red WI-FI pueda desencriptar y robar información

de cualquier otro individuo que se encuentre dentro de la misma red de 802.11.

Justificación:

La vulnerabilidad hole 196 es una vulnerabilidad que se ha encontrado en el protocolo de seguridad WPA2

con el fin de exponer la red wifi a atacantes que se encuentren dentro de la misma red. Esta vulnerabilidad
fue descubierta por AirTight Networks ahora conocida como Mojo Networks empresa que documento el

estándar IEEE 802.11 un documento de 1232, de donde sale su nombre hole 196 debido a que se encuentra

en la última línea de la pagina 196.

Figura 1 Final de la página 196 del estándar IEEE 802.11

¿Cómo funciona la vulnerabilidad hole 196?

Bueno para tener acceso a esta red se debe de tener la clave temporal mejor conocido como clave de grupo

(GTK), por lo que esta clave siempre se vera compartida por los clientes que estén autorizados para tener

acceso a la red con seguridad WPA2.

Este estándar trabaja de forma en que solo un AP puede transmitir el trafico de datos que será direccionado

por un grupo que utilizando GTK, mientras que por el lado de los clientes que solo se encargan de descifrar

el tráfico utilizando también GTK el problema es que este estándar no tiene una forma de garantizar

seguridad cuando se encuentre a un cliente malicioso dentro de la misma red pueda, pues este individuo

puede inyectar paquetes encriptados por GTK, al hacer eso el cliente mal intencionado podría desencriptar

los datos de otro usuario que estén dentro de la misma red, pero no solo puede obtener su información sino

que también pueden escanear sus dispositivos WI-FI en busca de otras vulnerabilidades, instalar malware

que ponga en riesgo cada uno de estos dispositivos.

¿Puede ser aprovechada la vulnerabilidad hole 196 por un intruso exterior a la red WPA2?
Debido a que el de seguridad WPA2 no ha sido roto si se lo puede llamar así esto impide que un usuario

externo pueda ingresar a la información de la red, y porque digo que no sea roto el protocolo de seguridad

pues los únicos que pueden ingresar son los usuarios autorizados que conocen precisamente la calve

compartida de grupo (GTK) ya mencionada anteriormente es por esta razón que la única causa para que se

de este tipo de ataques es por parte de un usuario interno que conozca dicha clave. Esta vulnerabilidad no

se da por un problema de autenticación por lo que no se puede acceder fácilmente a la red por fuerza bruta

ya que bastaría con una contraseña que cumpla de estándares seguros para impedir el paso de individuos

que deseen ingresar al trafico de datos desde el exterior.

¿Qué tan preocupante es esta vulnerabilidad al decir que solo pueden ser vulnerada por personas

internas a la red Wi-FI?

La preocupación por este tipo de vulnerabilidad debe ser tema de preocupación pues si lo es debido a que

en los últimos años en las encuestas e informes realizadas por los CERT (Computer Emergency Response

Team) que son un grupo que expertos en resolver problemas de seguridad informática. Revelan en sus datos

estadísticos y también hablan acerca de los problemas que han representado una mayor amenaza y un mayor

costo para los datos empresariales son realizados por personas que han realizado ataques internos.

Esto se vuelve un gran problema dentro de la empresa porque la vulnerabilidad hole 196 permite que se

realice un ataque interno dentro de la empresa de una forma sigilosa provocando la fuga de datos

confidenciales para cada organismo, pueden volverse victimas de espionajes, pueden ingresar a recursos

que no les sea permitido dentro de la institución, e incluso robar la identidad de otra persona que se

encuentre dentro de la misma red, etc. Como resultado, ninguna solución de seguridad alámbrica (IDS/ IPS

cableado, firewall, o detección de envenenamiento ARP basado en switch) pueden detectar estos ataques.

Pero lo que no se puede realizar es el descifrado de la clave mediante esta vulnerabilidad pues como lo ya

lo he mencionado esto no puede ser aprovechado para realizar un ataque al cifrado AES y mucho menos a

la autenticación de WAP2 Enterprise o WPA2-PSK. Tampoco se puede obtener acceso a las claves privadas
o clave transitoria por partes (PTK) de otro usuario que ese encuentre dentro de la red WI-FI de la red

protegida por WPA2.

¿De qué forma se puede explotar la vulnerabilidad hole 196?

Para poder explotar esta vulnerabilidad existen tres formas posibles como son: por envenenamiento ARP y

ataque de hombre en el medio, inyectar código malicioso en otros dispositivos WI-FI autorizados, y para

lanzar un ataque de denegación de servisio (Dos) sin usar marcos de desconexión.

En una red WPA2 una persona interna mal intencionado difunde paquetes falsos (con la dirección MAC

del AP como la dirección del transmisor) encriptados usando la clave de grupo compartido (GTK)

directamente a otros clientes WI-FI autorizados en la red.

Figure 1 víctimas y sistemas operativos vulnerables.

 Figure 2 Attack SMiTM

Para comprobar como funciona uno de los ataques mencionados hemos realizado un ARP-Spoofing con un

man-in-the-midle.

Para esto usamos Kali Linux que será el atacante, Windows 7 que será la víctima, Metasploitable que ara

la función del servidor y Wireshark para probar el tráfico de la red.

Primeramente, en Kali Linux habilitamos el ip forwarding con el comando echo 1 >>

/proc/sys/net/ipv4/ip_forward.

También verificamos que si se encuentra activo con el comando cat /proc/sys/net/ipv4/ip_forward como

se puede observar en la terminal tenemos 1 lo que nos dice que ya se ha activado.

Luego procedemos a la victima en este caso Windows 7 donde utilizamos el comando ipconfig para ver su

ip que es la 192.168.1.100.

Utilizaremos el servidor de Metasploitable para convertirlo en un router fantasma para esta prueba lo

denominaremos así, de esta forma vamos a poder direccionar el tráfico de la víctima Windows 7,

verificamos su ip con el comando ifconfig.

Retornamos a Kali Linux en donde vamos a realizar el ataque con el comando arpspoof a través de la

interfaz del router eth0 y también se debe utilizar la ip de Windows 7 192.168.1.100 y la ip de router

fantasma 192.168.1.112. En la terminal podemos verificar que ya se a comenzado a realizar el ataque.

Una ves que se a realizado entramos a nuestro cliente de Windows e ingresamos al ip del router fantasma

y nos aparece las siguientes opciones de la cual escogeremos DVWA. Una vez que se ha ingresado a

DVWA realizaremos un login en donde pondremos el usuario admin y el password password. Mientras

se realiza el login desde la maquina con Kali Linux ejecutamos el Wireshark para que comience a capturar

el trafico de la red.
En la máquina de Kali Linux ingresando el comando ip.addr == 192.168.1.100 && http.request.method

== POST podemos visualiza el trafico de la red.

Finalmente revisamos y podemos verificar que se han podido obtener las credenciales del cliente Windows.

De esta forma se pudo comprobar cómo se puede realizar un ataque aprovechando la vulnerabilidad hole

196.

¿Existe alguna solución para esta vulnerabilidad?

Una solución sería que los proveedores de AP pueden realizar un parche en su software para que se pueda

asignar un GTK único generado aleatoriamente a cada cliente de forma individual en lugar de que tengan

un GTK compartido entre todo el grupo.

En la ausencia de un proxy ARP, un AP puede enviar el tráfico de difusión a través del aire como uniscat a

clientes individuales, aunque esto puede llegar a producir una degradación en el rendimiento de datos

WLAN esto también dependería de la cantidad de trafico de difusión.

Conclusiones:

Una vez analizado el problema de la vulnerabilidad hole 196 que se encuentra en el protocolo de seguridad

de WPA2 se puede decir que se pueden ver afectados los clientes que se encuentren dentro de un medio

protegido por WPA2 por un individuo dentro de ese mismo grupo de difusión de datos que puede llegar a

tener la información de cualquiera de ellos de una forma sigilosa sin que se lleguen a dar cuenta de fueron

victimas de un ataque que se puede realizar por diversos medios siempre y en cuando se encuentre en la

misma red. Un individuo no puede aprovechar esta vulnerabilidad si no se encuentra dentro de la misma

red.

Las empresas pueden verificar si su proveedor de AP o de sistemas operativos a realizado un parche para

controlar esta vulnerabilidad, pero esta también puede ser explotada a través de dispositivos móviles u otros

que ya sean un poco obsoletos en cuanto al tema de actualizaciones pues sus proveedores ya no brindan un

mantenimiento y de esta forma se puede seguir explotando esta vulnerabilidad.

Bibliografía:

Farik, M., & Ali, A. S. (2015). Recurrent Security Gaps In 802.11 ac Routers. International Journal of

Scientific & Technology Research, 4(8), 329-334.

Kacic, M., Hanacek, P., Henzl, M., & Jurnecka, P. (2013, September). Malware injection in wireless

networks. In Intelligent Data Acquisition and Advanced Computing Systems (IDAACS), 2013 IEEE 7th

International Conference on (Vol. 1, pp. 483-487). IEEE.

Agarwal, M., Biswas, S., & Nandi, S. (2015). Advanced stealth man-in-the-middle attack in wpa2 encrypted

wi-fi networks. IEEE Communications Letters, 19(4), 581-584.

Sheldon, F. T., Weber, J. M., Yoo, S. M., & Pan, W. D. (2012). The insecurity of wireless networks. IEEE

Security & Privacy, 10(4), 54-61.