Protocollo-WiFI-vulnerabilita

Protocollo WiFI: vulnerabilità consente di dirottare il traffico di rete

Protocollo WiFi: individuata una falla nel protocollo Wifi IEEE 802.11 può consentire agli attaccanti di dirottare il traffico di rete.

Protocollo WiFi: frame e dati in chiaro
Mathy Vanhoef, ricercatore belga, ha individuato una falla piuttosto grave nella progettazione del protocollo WiFi IEEE 802.11. Va detto che Vanhoef aveva già individuato altre falle relative ai WiFi: in dettaglio ha individuato una falla, qualche anno fa, che rendeva insicuri i meccanismi di autenticazione WPA2 e WPA3. Fatto che ha costretto i vendor ad aggiornare i firmware dei dispositivi.

L’ultima vulnerabilità individuata consente agli aggressori di indurre gli access point WiFi a condividere frame di rete contenenti dati in chiaro. In dettaglio i frame sono contenitori di dati che hanno un header, un data payload e un trailer che include informazioni come la fonte e l’indirizzo MAC di destinazione ecc…

Insomma i frame sono composti da una serie di “campi” che contengono informazioni utili a capire origine, destinazione, lunghezza, tipologia dei dati trasmessi. I frame sono di vari tipi: alcuni sono di gestione, altri di controllo, altri sono prettamente data frame. Nelle normali trasmissioni questi frame sono incodati e trasmessi in modo controllato e ordinato. Lo scopo è evitare collissioni e massimizzare le performance dello scambio dati, monitorando lo stato libero / occupato dei riceventi.

Protocollo WiFi: la vulnerabilità che mette in chiaro i dati dei frame

I ricercatori hanno scoperto che i frame incodati / bufferizzati non sono protetti a sufficienza da attaccanti che possono, quindi:

manipolare la trasmissione dei dati;
spoofare il client (insomma, spacciarsi per un dispositivo diverso da quello reale);
reindirizzare i frame.
“Questa scoperta ha un impatto vasto, dato che affligge vari dispositivi e sistemi operativi (Linux, FreeBSD, iOS, e Android). Questi attacchi possono condurre a dirottare le connessioni TCP o intercettare client e traffico web”

si legge nel report (il paper completo di Vanhoef, Schepers e Ranganathan può essere consultato qui)

La vulnerabilità CVE-2022-47522
Andando più in dettaglio, lo standard IEEE 802.11 include una serie di meccanismi di risparmio energetico che consentono ai dispositivi Wi-Fi di risparmiare energia proprio tramite il buffering o l’incodamento dei frame destinati a dispositivi che risultano inattivi. Quando un client ricevente diventa inattivo, invia un frame all’access point con un header che contiene il bit di risparmio energetico: tutti i frame a esso destinati vengono quindi accodati.

Qui sta il problema. Lo standard IEEE 802.11 non fornisce indicazioni esplicite su come gestire la sicurezza di questi frame incodati. Non imposta neppure limitazioni su come e per quanto tempo questi frame possono rimanere incodati. Una volta che il client torna attivo, l’access point rimuove dalla coda i frame incodati, li cripta e li trasmette alla destinazione. Ecco che l’attaccante può fare lo spoofing dell’indirizzo MAC di un dispositivo sulla rete e inviare frame di risparmio energetico all’access point, forzandolo a incodare i frame destinati al target. Quindi, l’attaccante trasmette il frame “di risveglio” per recuperare la coda di frame.

I frame trasmessi sono di solito criptati usando la chiave di criptazione condivisa tra tutti i dispositivi nella rete Wi-Fi oppure con una chiave “pairwise”, che è unica per ciascun dispositivo e usata per criptare gli scambi tra i due dispositivi.

Un attaccante può però modificare il contesto di sicurezza dei frame. Ad esempio può inviare frame di autenticazione e associazione all’access point, costringendolo così a trasmettere i frame criptandoli con la chiave fornita dall’aggressore stesso, oppure, ancora peggio, a trasmetterli direttamente in chiaro.

Diagramma d’attacco. Fonte: “Framing Frames: Bypassing Wi-Fi Encryption by Manipulating Transmit Queues”
Protocollo WiFi: il rischio non è teoria!
Le fasi di attacco sopra descritte non sono un esercizio accademico. Tutt’altro: Vanhoef e colleghi hanno approntato uno strumento ad hoc che consente di condurre questi attacchi contro il protocollo IEEE 802.11, chiamato MacStealer, che consente di testare le reti WiFi, scavalcare l’isolamento dei client e intercettare il traffico destinato ad altri client sfruttando proprio il MAC address.

Non finisce qui: i ricercatori sottolineano come una topologia simile di attacco possa essere usata anche per l’injection di contenuti dannosi, ad esempio JavaScript nei pacchetti TCP.

In generale, i ricercatori segnalano che i modelli di dispositivi di rete dei vendor Lancom, Aruba, Cisco, Asus e D-Link sono vulnerabili a questo tipo di attacchi.

Alcuni dei dispositivi testati e vulnerabili. Fonte: “Framing Frames: Bypassing Wi-Fi Encryption by Manipulating Transmit Queues”
Per correttezza sottolineiamo come, ad ora, non risultino attacchi reali che hanno sfruttato questa falla.

ursnif_android

Ursnif sbarca su Android: l’analisi del CERT

Ursnif sbarca su Android: le campagne che lo distribuiscono veicolano ora un APK che infetta Android con un RAT, DroidJack.

Ursnif e le campagne a tema Agenzia delle Entrate
Ormai ne parliamo da giorni, gli alert del CERT (e non solo) si susseguono. Ursnif e il suoi gestori stanno martellando l’Italia di campagne di attacco. Campagne che mutano e differiscono in qualche particolare, ma che in comune hanno l’infrastruttura che li sostiene e il tema: Agenzia delle Entrate appunto.

“Come già anticipato dal CERT-AgID nelle scorse settimane, l’Italia è stata interessata da una importante campagna volta a distribuire il malware Ursnif. Dall’inizio del mese di marzo ad oggi sono state osservate almeno quattro campagne, che hanno avuto come temi Agenzia delle Entrate e MISE/MEF e che si sono distinte per il loro considerevole volume”

si legge nel report del CERT “Il fenomeno Ursnif in Italia: i numeri dell’ultima ondata di campagne“.

Per approfondire > Ursnif: il trojan bancario più diffuso in Italia

Ursnif sbarca su Android
L’ennesimo alert del CERT su Ursnif e i suoi gestori è di ieri, Lunedì 27 Marzo. Di nuovo il CERT ha individuato una campagna di spam che sfrutta il tema Agenzia delle Entrate per ingannare gli utenti.

Il CERT ha individuato una campagna di spam che sfrutta il tema Agenzia delle Entrate per ingannare gli utenti
Fonte: https://cert-agid.gov.it
L’email sopra ricalca una delle classiche campagne che emulano comunicazioni dell’Agenzia delle Entrate. A tutti gli effetti sembra una campagna di distribuzione di Ursnif, ma c’è una novità.

Gli autori di #Ursnif approdano nel mondo mobile: #DroidJack APK veicolato come comunicazione Agenzia delle Entrate

DroidJack:

Acquisisce SMS, Video, Chiamate

💣 Disponibili gli #IoC 👇

🔗 https://t.co/bO6CbM4jS1 pic.twitter.com/dklWU7cOSN

— Cert AgID (@AgidCert) March 27, 2023
Il link contenuto in corpo messaggio, in questo caso, non scarica alcun file a meno che il visitatore non lo visiti con un dispositivo Android. In questo caso il link conduce al download di un file in formato APK, chiamato Agenzia.apk. Insomma, la campagna Ursnif non distribuisce Ursnif ma un altro malware.

In dettaglio il malware risulta essere DroidJack, un Malware as Service venduto al costo di 210 dollari. Malware che, nello specifico, è un RAT che consente di ottenere il completo controllo, da remoto, del dispositivo compromesso. Così gli attaccanti possono monitorare il traffico dati, intercettare conversazioni e OTP ecc…

DroidJack il MaaS per Android
DoridJack è un malware per Android rivenduto come Malware As A service sia nel dark web che nel web emerso. E’ in circolazione da molti anni ed è sempre stato una minaccia di un certo rilievo. Al punto che, nel 2015,una task force dell’Europol e Eurojust tentò di sgominare il gruppo gestore.

Come si presentava DroidJack nel 2015
Come si presentava DroidJack nel 2015
Venendo ai tempi odierni, il CERT ha analizzato in dettaglio il funzionamento di questa campagna.

Subito dopo l’installazione, DroidJack registra il dispositivo compromesso. Per farlo comunica al server C&C marca e modello del dispositivo, numero di telefono, versione di Android.

Fonte: https://cert-agid.gov.it
Quindi inizia la raccolta di informazioni, che vengono salvate su un database SQLite (SandroRat nell’immagine sotto)

Urnsif sbarca su Android: DroidJack raccoglie informazioni e le salva in database SQLite
Fonte: https://cert-agid.gov.it
Oltre ad intercettare il traffico, DroidJack può acquisire SMS, video e registrare le chiamate effettuate. I dati raccolti sono criptati con algoritmo AES e inviati ad un server C&C localizzato in Russia.

Venendo al codice del malware, non ci sonoi grandi differenze rispetto alla versione che fu individuata in circolazione nel 2016. Probabilmente quella analizzata è proprio la vecchia versione, alla quale sono stati modificati gli indirizzi dei server C&C.

Che c’entra Ursnif quindi?
La campagna analizzata non distribuisce una versione di Ursnif per Android. Quindi che c’entra Ursnif? L’analisi del CERT ha permesso di estrarre le URL dei server di smistamento. Sono oltre 700 e molte di queste già erano correlate alla campagna Ursnif del 14 Marzo 2023. Non finisce qui:

stesso tema delle campagne Ursnif;
stesso oggetto email;
utilizzo dei link dinamici Firebase;
l’infrastruttura che distribuisce il file APK dannoso è la stessa di precedenti campagne Urnsif.
In precedenza non sono mai state registrate campagne di distribuzione Ursnif verso utenti Android. E’ la prima volta che il gruppo dietro le campagne Urnsif mirate contro utenti italiani si rivolge ad Android. La telemetria d’altronde non lascia dubbi: il 30% delle potenziali vittime delle precedenti campagne di distribuzione Ursnif possiede Android.

E’ lecito pensare, o quantomeno è verosimile, che il gruppo che gestisce Urnsif abbia scelto DroidJack per ampliare i target della propria attività dannosa. Affiancando a Windows i target Android.

Guide utili per rimanere al sicuro da attacchi malware e phishing
Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Gli allegati email più usati per infettare Windows
L’alert del CERT: in crescita il fenomeno delle campagne di phishing che cambiano i contenuti in base all’indirizzo email della vittima

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy