Apple iOS 8 sửa lỗi chiếm quyền xác thực WPA2-Enterprise

Apple iOS 8 đã giải quyết một điểm yếu nghiêm trọng cho phép tin tặc có thể chiếm quyền xác thực của mạng không dây thông qua thiết bị Apple và đoạt quyền truy cập vào mạng của doanh nghiệp.

Một  tin tặc có thể giả  mạo một điểm truy cập Wifi, cung cấp xác thực với LEAP, phá vỡ mã hash MS-CHAPv1 và sử dụng các thông tin đăng nhập để xác thực với điểm truy cập Wifi ngay cả khi nó được hỗ trợ phương pháp xác thực mạnh hơn.

Lỗ hổng này xuất phát từ việc thực thi giao thưc bảo mật WPA2-Enterprise, vốn được dùng rộng rãi trên mạng không dây của công ty vì nó cho phép mỗi máy khách có một thông tin đăng nhập riêng, thay vì dùng chung một mật khẩu như WPA2-Personal, giao thức bảo mật không dây sử dụng tại mạng gia đình.

WPA2-Enterprise hỗ trợ nhiều kiểu xác thực, phổ biến nhất là PEAP (Protected Extensible Authentication Protocol), kết hợp với Microsoft Challenge-Handshake Authentication Protocol version 2 (MS-CHAPv2) và giao thức mã hóa TLS (Transport Layer Security).

Tại hội nghị bảo mật Defcon năm 2012, nhà nghiên cứu bảo mật Moxie Marlinspike  đã sử dụng một dịch vụ trên nền điện toán đám mây bẻ khóa MS-CHAPv2 chỉ trong một ngày, việc này đã nâng cao mối quan tâm bảo mật đối với mạng riêng ảo sử dụng PPTP (Point-to-Point Tunneling Protocol)  và mạng không dây sử dụng WPA2-Enterprise. Wi-Fi Alliance và các chuyên gia mạng không dây khác đã phản hồi rằng mặc dù MS-CHAPv2 bộc lộ điểm yếu trước các cuộc tấn công brute-force nhưng mạng không dây sử dụng WPA2-Enterprise cùng với xác thực PEAP vẫn chưa bị tổn hại bởi việc bẻ khóa MS-CHAPv2 đòi hỏi phải phá vỡ bảo mật TLS.

Tuy nhiên, các nhà nghiên cứu tại Đại học Hasselt Bỉ đã tìm ra rằng các thiết bị của Apple sử dụng iOS và Mac OS X cũng hỗ trợ một phương thức xác thực WPA2-Enterprise lỗi thời và không bảo mật được gọi là LEAP (Lightweight Extensible Authentication Protocol). Nó không sử dụng TLS và phụ thuộc vào MS-CHAPv1. Theo các nhà nghiên cứu, lỗ hổng này có thể dùng để thực hiện một vụ tấn công vượt qua cơ chế xác thực ngay cả khi mạng không dây sử dụng PEAP.

Trong một nghiên cứu trình bày tại hội nghị bảo mật mạng không dây và mạng di động ACM, các nhà nghiên cứu Hasselt đã giải thích rằng MS-CHAPv2 server-to-client có thể dễ dàng chuyển thành MS-CHAPv1. Tương tự như vậy MS-CHAPv1 cũng dễ dàng chuyển thành MSCHAPv2. Tin tặc có thể thiết lập một mạng không dây giải mạo cùng tên (SSID) như mạng thật của doanh nghiệp mà chúng nhắm tới, rồi yêu cầu xác thực LEAP thay vì PEAP. Khi hai mạng không dây có cùng SSID, thiết bị sẽ tự động kết nối với mạng có tín hiệu mạnh hơn, một cách tấn công được gọi là “evil twin”. Khi thiết bị Apple cố gắng kết nối đến điểm truy cập giả mạo, tin tặc có thể bắt đầu thiết lập một kết nối đến điểm truy cập thật sử dụng một máy khách riêng biệt. Sau đó chúng có thể chiếm quyền kiểm soát PEAP MS-CHAPv2 thông qua điểm truy cập đó, chuyển đổi nó về LEAP MS-CHAPv1 và phản hồi lại thiết bị Apple thông qua điểm truy cập giả mạo. Thiết bị Apple sẽ sử dụng thông tin xác thực được lưu trữ để tạo một phản hồi MS-CHAPv1 hợp lệ và gửi chúng đến điểm truy cập giả mạo. Tin tặc sẽ bắt hồi đáp này, chuyển nó về MS-CHAPv2 và sử dụng để xác thực trên điểm truy cập thật.

Nâng cấp lên iOS 8 sẽ khắc phục vấn đề cho iPhone, iPad và iPod, nhưng Mac OS X vẫn dễ dàng bị tấ công. Các nhà nghiên cứu đã thử nghiệm thành công trên Mac OS X và tin rằng tất cả các phiên bản Mac đều bị ảnh hưởng vì chúng dùng chung giao thức mạng không dây như iOS.

Một vài giải pháp giảm thiểu được đưa ra như sử dụng mã hóa TLS trong xác thực WPA2-Enterprise yêu cầu thông tin đăng nhập hợp lệ từ người dùng như EAP-TLS. Nó sẽ ngăn cản các tin tặc giả mạo là khách hàng, nhưng sẽ phải có chứng chỉ TLS riêng biệt cho tất các thiết bị được ủy quyền bởi điểm truy cập. Một vài giải pháp khác như sử dụng một hệ thống chống xâm nhập không dây quét các LEAP request, sẽ giúp việc tìm ra điểm truy cập giả mạo.

zdnet