隨著移動互聯(lián)網(wǎng)的高速發(fā)展和移動終端的廣泛普及，Wi-Fi網(wǎng)絡(luò)的安全對于企業(yè)十分重要。目前，無恒實驗室已將相關(guān)漏洞報給對應(yīng)終端企業(yè)，完成了修復(fù)。

此外，無恒實驗室也在企業(yè)內(nèi)部開發(fā)了一個檢測系統(tǒng)，該系統(tǒng)能夠?qū)崟r檢測出將要接入企業(yè)Wi-Fi網(wǎng)絡(luò)中風(fēng)險終端，提前發(fā)現(xiàn)風(fēng)險并提醒員工解決問題甚至阻斷連接。目前該系統(tǒng)在內(nèi)部測試中，后續(xù)無恒實驗室希望通過開源的方式與行業(yè)一道分享他們的安全治理經(jīng)驗。

一、論文解讀：黑客如何無感知劫持設(shè)備并接入企業(yè)內(nèi)網(wǎng)的？

1. 終端設(shè)備是如何被劫持到黑客偽造的企業(yè)Wi-Fi？

搭建同名企業(yè)Wi-Fi 是完成WPA-Enterprise攻擊的前提，基本流程如下：假設(shè)某公司員工通過連接名為Foo Inc的WPA-Enterprise網(wǎng)絡(luò)接入公司內(nèi)網(wǎng)。黑客在員工經(jīng)常出沒的場所，例如樓下的咖啡廳精心構(gòu)造一個同樣名稱為Foo Inc的企業(yè)Wi-Fi，由于存儲在員工手機和電腦上的配置只記錄了企業(yè)Wi-Fi名稱為“Foo Inc”，當(dāng)員工經(jīng)過黑客搭建的“Foo Inc”附近時，員工的手機和電腦便會主動嘗試連接該Wi-Fi。

目前EAP認(rèn)證框架中的PEAP、TLS、TTLS、FAST認(rèn)證協(xié)議均依賴TLS隧道保護(hù)其安全性。這些協(xié)議首先會在Wi-Fi網(wǎng)絡(luò)和設(shè)備之間建立一個TLS隧道，這個TLS隧道和HTTPS中的TLS隧道類似。Wi-Fi網(wǎng)絡(luò)側(cè)會下發(fā)Authenticator服務(wù)端證書，只有終端設(shè)備驗證其真實性后才進(jìn)行憑據(jù)交換。理論上攻擊者無法偽造服務(wù)端證書，終端設(shè)備也就不會和黑客偽造的Wi-Fi建立連接。然而在實際情況中，存在著錯誤配置和安全漏洞的問題，導(dǎo)致終端設(shè)備與偽造的Wi-Fi建立起TLS連接。比如

1. 錯誤配置

a. 一種情況是有一些Android設(shè)備配置PEAP企業(yè)無線網(wǎng)絡(luò)時，默認(rèn)不對服務(wù)端證書進(jìn)行校驗，例如CVE-2020-1836。另一種情況是，大量企業(yè)在構(gòu)建Wi-Fi時，引入了零信任思想并搭建私有CA，以便增強安全性，而員工要配置企業(yè)Wi-Fi，首先要將CA根證書導(dǎo)入設(shè)備，再進(jìn)行配置。這些操作較為復(fù)雜，員工通常圖省事，選擇不校驗。這些情況都會導(dǎo)致用戶的手機能夠信任偽造的證書直接連接到黑客偽造的Wi-Fi。

b. 在一些Linux系統(tǒng)的IoT設(shè)備中，配置校驗服務(wù)端證書的方式復(fù)雜，需要上傳一份根證書，并編寫配置文件。大部分用戶也會選擇直接連接而不校驗服務(wù)端證書。

2. 系統(tǒng)安全漏洞

a. 如CVE-2020-0119：Android設(shè)備在使用addOrUpdateNetworkInternal函數(shù)添加企業(yè)無線網(wǎng)配置時，會出現(xiàn)證書寫入失敗的情況。這導(dǎo)致Android設(shè)備無法校驗服務(wù)端證書。在這種漏洞影響下導(dǎo)致一些設(shè)備在即使配置正確的情況下也能夠連接黑客偽造的Wi-Fi。

2. 攻擊PEAP-MSCHAPV2/EAP-TTLS 協(xié)議

上面的漏洞建立“安全”隧道后，攻擊者會實施后續(xù)的各類攻擊方式。下面介紹下攻擊者常用的攻擊方式，這些攻擊方式都依賴于上面的默認(rèn)不驗證證書漏洞：

● 針對PEAP認(rèn)證方式的哈希竊取攻擊

在2012年的Defcon 20上，議題“Defeating PPTP VPNs and WPA2 Enterprise with MS-CHAPv2”提出了針對MSCHAPV2協(xié)議的攻擊。在對配置PEAP-MSCHAPV2協(xié)議的設(shè)備進(jìn)行釣魚攻擊后，能夠獲得用戶密碼的哈希。傳統(tǒng)方法破解哈希所用的時間很長，而該議題提出的方法可以在一天內(nèi)完成對密碼哈希的破解。

● 針對PEAP認(rèn)證方式的GTC降級攻擊

在2013年的Defcon 21上，安全研究人員在議題“BYO-Disaster and why corporate security still sucks”上就提出了GTC降級攻擊。直到2020年，無恒實驗室仍然在Android和wpa_supplicant上發(fā)現(xiàn)了導(dǎo)致GTC降級攻擊的新漏洞，漏洞編號：CVE-2020-0201，該漏洞的根因是有漏洞的終端設(shè)備默認(rèn)不配置階段二的協(xié)議。

如果在“安全”隧道建立之后，黑客偽造的Wi-Fi在階段二的協(xié)議協(xié)商階段選擇GTC協(xié)議而不是MSCHAPV2協(xié)議。錯誤配置的終端會將MSCHAPV2的密碼當(dāng)成GTC協(xié)議的TOKEN上傳。這樣黑客就獲取到了MSCHAPV2的明文密碼，這種攻擊方式簡單高效，效果致命。更危險的是，有一些企業(yè)將Wi-Fi認(rèn)證與SSO單點登錄打通，Wi-Fi密碼就是SSO密碼，這樣就拿到了企業(yè)員工的所有權(quán)限。

EAP-TTLS由于協(xié)議原理與PEAP類似， 上面兩種攻擊方式同樣有效。

3. 攻擊EAP-TLS 協(xié)議

EAP-TLS采用雙向證書認(rèn)證， 如果終端設(shè)備沒有配置CA對Authenticator（服務(wù)端）進(jìn)行認(rèn)證，同樣可以被劫持，因為是否驗證用戶證書取決于服務(wù)端，而服務(wù)端此時是黑客掌控的。后續(xù)的攻擊就與連接到咖啡館的釣魚Wi-Fi類似了，在這里也可以偽造企業(yè)SSO認(rèn)證頁面，騙取密碼。

綜上，這些攻擊的后果是直接導(dǎo)致用戶密碼、用戶哈希等敏感信息泄露，最終導(dǎo)致企業(yè)內(nèi)網(wǎng)被黑客入侵。

完整論文可點擊下載： https://baigd.github.io/files/MobiCom22.pdf

二、劫持發(fā)生的根本原因在于終端設(shè)備錯誤信任了黑客偽造的證書

隨著移動互聯(lián)網(wǎng)的高速發(fā)展和移動終端的廣泛普及，人們對無線網(wǎng)絡(luò)的需求越來越強烈，同時對于企業(yè)移動辦公來說，無線網(wǎng)絡(luò)安全更為重要。如何保障企業(yè)Wi-Fi網(wǎng)絡(luò)的安全，更好的提前發(fā)現(xiàn)安全風(fēng)險，避免攻擊發(fā)生，這對所有企業(yè)網(wǎng)絡(luò)安全從業(yè)者提出了更高的挑戰(zhàn)。如上研究所說，對抗這些攻擊對于保障WPA-Enterprise的安全性起著重要的作用，2020年無恒實驗室將上述漏洞報給相關(guān)終端企業(yè)，目前已經(jīng)修復(fù)，但是如果企業(yè)員工使用的設(shè)備從來沒有升級過固件，或者是員工存在錯誤配置的情況，還是會存在被攻擊的風(fēng)險。

無恒實驗室在研究針對WPA-Enterprise的攻擊后發(fā)現(xiàn)，整個攻擊能夠?qū)嵤┑母驹蛟谟诮K端設(shè)備由于各種原因錯誤信任了黑客偽造的證書。針對這一問題，無恒實驗室目前在企業(yè)內(nèi)部開發(fā)了一個檢測系統(tǒng)，該系統(tǒng)能夠?qū)崟r檢測出將要接入企業(yè)Wi-Fi網(wǎng)絡(luò)中風(fēng)險終端，提前發(fā)現(xiàn)風(fēng)險并提醒員工解決問題甚至阻斷連接。目前該系統(tǒng)在內(nèi)部測試中，后續(xù)無恒實驗室希望通過開源的方式與行業(yè)一道分享他們的治理經(jīng)驗。

三、關(guān)于無恒實驗室

無恒實驗室(https://security.bytedance.com/security-lab)是由字節(jié)跳動資深安全研究人員組成的專業(yè)攻防研究實驗室，致力于為字節(jié)跳動旗下產(chǎn)品與業(yè)務(wù)保駕護(hù)航。通過實戰(zhàn)演練、漏洞挖掘、黑產(chǎn)打擊、應(yīng)急響應(yīng)等手段，不斷提升公司基礎(chǔ)安全、業(yè)務(wù)安全水位，極力降低安全事件對業(yè)務(wù)和公司的影響程度。無恒實驗室希望持續(xù)與業(yè)界持續(xù)共享研究成果，協(xié)助企業(yè)避免遭受安全風(fēng)險，亦望能與業(yè)內(nèi)同行共同合作，為網(wǎng)絡(luò)安全行業(yè)的發(fā)展做出貢獻(xiàn)。

xiesc