EDICIóN GENERAL
318 meneos
4947 clics
Microsoft ya ha parcheado la vulnerabilidad WiFi de WPA2: Google tardará semanas

Microsoft ya ha parcheado la vulnerabilidad WiFi de WPA2: Google tardará semanas

Microsoft es la primera en parchear la vulnerabilidad WPA recién descubierta, Google no lo hará hasta el 6 de noviembre.

| etiquetas: microsoft , google , wifi , wpa , seguridad , vulnerabilidad
Comentarios destacados:                                  
#5 #4 El atacante debe engañar al cliente y al router para que vuelvan a intercambiar las claves de cifrado que ya estaban usando.

Basta con que el cliente o el router cuando se produce esa circunstancia intercambien claves nuevas para que el ataque fracase.

Aquí explican los detalles técnicos del ataque: techcrunch.com/2017/10/16/wpa2-shown-to-be-vulnerable-to-key-reinstall [ENG]
Y en Linux no importa.
#1 ¿porque nadie lo usa? :troll:
#22 Espero que tengas un iphone o te tragues tu movil android.
#31 Entonces en Linux sí importa, ¿no?
#31 No seas así con él... si tiene un móvil con Android lo más probable es que no reciba ninguna actualización de seguridad así que le seguirá dando igual :troll:
#31 Apple ya lo ha parcheado en las versiones beta de iOS, macOS, tvOS y WatchOS que ha sacado, y que actualizará a todos los usuarios en los próximos días.
#54 De todas formas estais confundiendo sistemas con empresas. Se ha hablado de Microsoft y Google, que a su vez es Windows y Android, y esta preguntando por mas distribuciones de linux.
#1 En linux hemos recibido el parche hace ya unas horas.
#25 linux no necesita parches, repele las amenazas como el aceite al agua.
#56 Batman acude a las llamadas de linux. En cambio es robin el que acude a las de windows :-D
#25 Afortunadamente porque a linux le afectaba especialmente el problema, mientras que windows tenía el bug pero en la práctica no era rentable hacerle el ataque.

El problema está en todos esos Androids afectados tanto como linux pero que nunca verán un parche.
#25 disculpa mi ignorancia...¿Con actualizar mi xubuntu ya vale?
#1 #23 Actualizar a Windows 10
#1 jajajajajaja mira mira "Los móviles Android y otros sistemas operativos basados en Linux son los que son más vulnerables ante este exploit"
Linux ya se puso a trabajar Google lo hará en unas semanas
#1 Pues la vulnerabilidad más grave, con diferencia, es en Linux precisamente. Resulta que hostap versiones 2.4 y 2.5 tiene un bug que no es que renueve la clave, es que pone la clave a cero, destruyendo por completo cualquier atisbo de seguridad. Android lleva una versión ligeramente modificada de hostap por lo que también es desastrosamente vulverable. Hostap es el proceso que se encarga de implementar las funciones de punto de acceso.
Debian y Ubuntu también.
pues en el windows update no sale na de na todavía, al menos a mi (win 7)
#3 En W10 lleva varios días de updates continuos.
#6 No sabía que lo de "rolling release" significase esto :troll:
#76 La Developer Preview es una rolling release
#3 segun dicen fue el martes cuando lo parchearon.
¿Alguien puede explicarme cómo un parche del sistema operativo cubre un problema del router?
#4 El atacante debe engañar al cliente y al router para que vuelvan a intercambiar las claves de cifrado que ya estaban usando.

Basta con que el cliente o el router cuando se produce esa circunstancia intercambien claves nuevas para que el ataque fracase.

Aquí explican los detalles técnicos del ataque: techcrunch.com/2017/10/16/wpa2-shown-to-be-vulnerable-to-key-reinstall [ENG]
Si navego por sitios con https habilitado no habría mayor preocupación, porque WPA cifraba lo ya cifrado.

¿Cuál es la amenaza en sí?

#5 con estos parches de Microsoft, corrijame si me equivoco, podría obligar al cliente y al router a renovar continuamente las claves y en la práctica sería una denegación de servicio. Luego dejaría sin wifi a muchos :troll:
#10 Sí, se podría convertir en un ataque de denegación de servicio, que es una categoría completamente distinta con una importancia e impacto también muy distintos.
#10 es muy probable que no todos los sitios que visites usen https y los que lo usen no usen hsts lo que en la practica los hace vulnerables en este escenario tambien.
Ademas hay otro trafico que va siempre sin cifrar, por ejemplo dns o dhcp que dejan la puerta abierta a mas ataques.
#10 no todos los si sitos usan https y otro ejemplo es un NAS en tu casa, que usa protocolo SMB y va sin cifrar.

Respecto a lo de la denegación no tengo una respuesta clara, pero entiendo que el cliente simplemente rechazara renegociar y no debería pasar nada.
#10 El problema está en que el atacante secuestra tu punto de acceso y se hace pasar por el mismo. Esto le permitiría por ejemplo hacer de proxy entre el sitio http y tu dispositivo, pudiendo redirigir los contenidos https como contenidos http. Tu casi no te darías cuenta porque en la mayoría de casos no nos fijamos en el estado de seguridad de la conexión.

En el vídeo de la presentación está muy bien explicado y ponen como ejemplo un sniff a una visita a match.com, que en principio es https.
#38 ese escenario, que es en el que se basaba la primera version del sslstrip por ejemplo, ya no funciona con sitios que usen hsts, especialmente si estan precargados en el navegador, como decia por arriba esto puede pasar en sitios que no usen eso, pero el 90% de los que use la gente normal (facebook, google, twitter etc) estan a salvo de esa tecnica
#38 Vamos lo que se viene haciendo de hace tiempo para SSLStrip. Lo que cambia es que ahora no necesitas la clave para lograr el MITM usando por ejemplo un envenenamiento ARP una vez accedido a la red. Con este ataque tendrías toda la primera parte en un solo paso. Intrusión en la red + MITM. ¿no?
#80 Eso parece. No lo he probado todavía.
#10 denegar servicio en una WiFi es bastante sencillo. Un inhibidor de frecuencia, por ejemplo. O más sutil, enviando deauths de las Mac que quieres tirar
#45 +10000 por el inhibidor, la peña no se da cuenta de que ademas de ser infalible se consiguen facilmente en cualquier tienda online china por menos de 10€
#55 Y te esperan años de cárcel si te pillan. Eso es como decir "la peña no se da cuenta de que un cuchillo cuesta 10€ y puedes matar a gente con ello".
#77 si? Yo creo que tanto tu como #82 estais pensando en jammers de bandas licenciadas, como GSM o 3G en donde claramente no puedes emitir sin permiso, ni interceptar las comunicaciones y los disposotivos inhibidores son caros e ilegales, pero en una banda libre?
Por esa regla de tres todo dispositivo que funcione en la banda libre de 2.4Ghz y no use CSMA CD es ilegal, porque actua como un jammer para las wifi, estariamos reservando esa banda solo para un protocolo, y aunque a mi desde el…   » ver todo el comentario
#55 Pues vaya puta basura de inhibidor. Los mas cutres que he visto yo (3 bandas y de bolsillo) valía 80 dolares. Y los buenos son tamaño router (para inhibir una habitación grande entera). Con un inhibidor tan barato tendrías que ponerlo en el router para inhibir toda la red o pegado al terminal que quieras joder. Creo que será menos cantoso y mas efectivo robarle la batería al dueño del terminal.

Lo de los deauth es algo que yo uso mucho. Tengo unos vecinos que ven el futbol online y muchas veces montan unas peloteras de cojones. Les jodo el partido un par de minutos y se acaban los gritos.
#82 Así que eras tu!!!! :ffu: >:-( >:-(

PS. es broma, no miro fútbol
#86 Ya imagino que es broma, mas que nada porque no sabes de donde soy xD
#87 Por tu nombre deduzco que vives en el intestino de algún animal
#89 O en la piel de una tortuga.
#4 ¿Alguien puede explicarme como pueden haberlo parcheado tan rápido los amigos de Microsoft?
#7 Muchas veces los investigadores antes de publicar un error de este tipo informan a los fabricantes y/o desarrolladores, de esta manera tienen algo de tiempo para intentar arreglar el problema antes de que sea publico.
#7 Dicen que FreeBSD lo parcheo en Julio, que no te estrañe que microsoft incluyese el parche entre Julio y ahora sin avisar a peticion de los que descubrieron la vulnerabilidad.
#11 en principio el parcheo era coordinado y suelen respetar para tener a todos los vendor con el parche listo más o menos al mismo tiempo de manera que no se parchee en un sw libre y entonces se conozca la vulnerabilidad y la aprovechen otros mientras el resto parchea o es contactado.

Aquí es OpenBSD quien actuó, en mi opinión, bastante mal.

De www.krackattacks.com

Why did OpenBSD silently release a patch before the embargo?

OpenBSD was notified of the vulnerability on 15 July…   » ver todo el comentario
#39 parece una mala actitud del resto, no de openbsd.
#64 A ver ese inglés. Windows Defender defiende, no actualiza. El que actualiza es Windows Update.
#64 Perdona, el comentario de #79 iba para #23, no para ti. Para ti era esto:

Es una (muy) mala actitud de OpenBSD porque no ha respetado el deadline. El resto lo ha respetado. Al hacer esto pone en riesgo a millones de usuarios. La próxima vez lo que posiblemente pase es que directamente no les avisen. Ojo por ojo.

Es como si decidimos hacer una carrera popular desde la Puerta del Sol, y como tú vives al lado decides empezar sin el resto, y claro, "ganas". Pues quedas como un estúpido.
#90 El problema lo tiene el que descubrió la vuln, que estuvo hasta 5 meses para hacer público el paper.

Ole sus cojones.
#99 mal también por Mikrotik. Sin embargo es menos arriesgado ya que al ser código cerrado no tiene la misma exposición, una actualización más que silenciosamente parchea el problema, lo mismo podría hacer Microsoft.

Cono dice #90 haciendo ese parcheado público haces que este expuesto y ponga en riesgo al resto. La coordinación está precisamente para evitar eso. Y me has remitido a unas palabras que dicen lo mismo que el investigador, que parchear on por sus huevos y xq pasan de la fecha. Si se alargo sería xq no se había conseguido aún hablar con todos o coordinar los fixes en la primera fecha.
#79 Eso ya lo sé. Me refería que si el parche se instalaba al actualizar defender o venía en alguna otra actualización de Windows.
#39 No; te remito a las palabras del mantenedor de la pila wireless en OpenBSD.

mastodon.social/@stsp/98837563531323569

Un saludo.

Además, los de Mikrotik habían hecho un jugada similar anteriormente, pero ahora la toman con OpenBSD.

twitter.com/mulander/status/920007339037614080

Pues OK, iros a tomar por culo. Ya llorarán cuando tengan un lío gordo con OpenSSH y Theo los despache a lo Torvalds pero por 20000.
#11 OpenBSD. No es lo mismo.
#7 Aunque me gusta mucho Linux y el software libre, creo que todos debemos aceptar la realidad ..
#50 ¿Que realidad?
#52 Que el mileniarismo va a shegaaaarrrrr
#52 La aplastante realidad.
#50 la realidad de que ya está parcheado?
#50 jajajajajaa, la mítica milanesa.
#7 La mayoría de vendors ya lo tenían implementado desde hace días/semanas/meses. Cuando encuentras una vulnerabilidad y haces responsible disclosure, contactas a los responsables de parchear y les das un tiempo (normalmente hasta 6 meses) para que preparen los parches. Después, cuando está todo listo, publicas. Esto se hace para no dejar a millones de usuarios con el culo al aire.

En este caso probablemente contactaron hace meses con Microsoft, Apple, Google, Linux, etc. Y la mayoría…   » ver todo el comentario
#88
>
y OpenBSD que son unos gilipollas y no esperaron al deadline (publicaron meses atrás).

Ya claro. twitter.com/mulander/status/920007339037614080

>. Después, cuando está todo listo, publicas. Esto se hace para no dejar a millones de usuarios con el culo al aire.

No. Los de OpenBSD no son tan idiotas. No pueden dar 6 meses de margen cuando su ciclo de publicación SON 6 meses. Eso significaría dejar al aire SU distro soportada (la versión actual) y la anterior tras la -stable, que es soportada durante un año si no recuerdo bien.
#4 Mira el vídeo que pone #14

Ahí explica y demuestra lo que se puede hacer. Que es un "man in the middle" entre un cliente y el AP (el atacante crea una SSID en falso y "fuerza" al cliente a conectarse a él), al resetear la conexión dice que en Linux y Android no vuelven a usar la clave, sino que usan todo ceros. Remueve lo que queda de https y para los sitios mal configurados (que tienen activado http y https en lugar de sólo https), captura todo en texto (http)...
#4 La vulnerabilidad se explota en la implementación del WPA en el cliente, no en los routers!
#4 Parchea el cliente. La vulnerabilidad es del protocolo, no del router.
#4 No es un fallo del router, sino del protocolo. Básicamente han encontrado una forma de inyectarle comandos a los clientes que estén conectados a routers con cierta funcionalidad. Comandos como "oye, cambiate al canal 7 y enchufate al punto de acceso 11:22:33:44...".

A partir de ahí es como el ataque al FBI con la phemtocell en Mr Robot: quien controle ese punto de acceso maligno puede inyectarte redirecciones que te saquen de https, puede cambiarte la resolución de nombres, puede pillar la contraseña de tu correo si no va cifrado el login... hacer mil historias.
Pues la fragmentación de Android va a ser devastadora para las redes wifi.

Cualquier wifi está comprometida si acceden con el móvil.
#9 entre la fragmentacion de android y la no actualizacion de los routers de los isp va a ser divertido.
#13 la vulnerabilidad viene en la implementación del wpa en el lado del cliente. Por lo tanto no hay ninguna necesidad de actualizar el router, solo el cliente (ordenadores, tablets, etc). Lo jugoso aquí es hacerte con la conexion de camaras wifi qje esas seguro que nunca serán actualizadas.
#9 Siempre he pensado que Google hizo una cagada de campeonato con el sistema de distribución de Android. Eso de tener que actualizar a través de los fabricantes y no desde un repo central es una burrada a nivel de seguridad. Entiendo que las pijadas de cada fabricante sean cosa de cada uno pero los parches de seguridad deberían ser para todos.
#18 buena teoria, mala realidad, ejecutado info.nowsecure.com/VTS-for-Android.html en un telefono android 4.2.2 con los componentes de la play store actualizados a tope, da 8 vulnerabilidades.
#19 #20 Android tiene muchas cosas malas pero la decisión del SO es del usuario te puedes comprar un Android puro y no tienes esos problemas pero si te compras un Android descafeinado no es culpa de Google por mal que me caigan sus políticas.

Bien por Microsoft aunque a los de Windows 7 lleva un tiempo abandonando nos y yo no quiero el w10 y eso que no me parece tan malo como el 8
#35 un android puro no te salva de que el fabricante no te quiera meter los parches.

Me pregunto hasta cuándo minexus 5x va a recibir actualizaciones.
#19 4.2? Que cojones? Are you from the past?
#40 no, simplemente alguien que usa su telefono como telefono.
#19 Android cambió radicalmente desde 4.4 y muchos programas piden esa versión como mínima. La 4.2.2 está, a todos los efectos, totalmente obsoleta.
#19 4.2.2 Ya no está soportada por los parches de seguridad: en.wikipedia.org/wiki/Android_version_history
#18 #19 #20 No parece que esto lo vayan a arreglar con los Play Services por el hecho de que Google ha dicho que el arreglo llegará el 6 de noviembre a los Google Pixel y al resto más tarde:

www.theverge.com/2017/10/16/16481818/wi-fi-attack-response-security-pa

LineageOS ya ha parcheado el fallo, acabo de enviar un link a MnM.
#18 Ten en cuenta que eso, por lo que leo en el enlace, funciona de Lollipop (5.0) en adelante y aún hay demasiados 4.4 y 4.2, concretamente un 15.1% de 4.4 y un 3.5% de 4.2 con lo que tienes a un 20% (aprox) de móviles sin protección.
#20 Yo no creo que ese 20% sea de móviles. Seguramente la mayoría sea otro tipo de dispositivos que usa Android. Sé que en ese enlace que pones pone "Smartphone owners" pero en los oficiales developer.android.com/about/dashboards/index.html?hl=es-419 pone simplemente "dispositivos".
#15 O te pollas un Nokia o un Pixel xon stock Android y te caen las actualizaciones según salen.
#32 O un Motorola
#15 No es Google, son los fabricantes. Y es la clave de su éxito. Nos duraría el móvil 10 años mínimo...
¿La actualización en Windows es desde windows defender?
Tengo Windows 8 y sólo se actualiza mi Windows defender. Las demás actualizaciones siempre se quedan congeladas, nunca avanzan. Estoy pensando actualizarlo por medio del command prompt. ¿O qué me recomiendan?
#23 ¿No será pirata?
#91 no es pirata. O al menos no debería. Esa computadora la compré nueva en un Walt mart y ya traía ese Windows. Era cuando recién salía. Ni siquiera es Windows 8.1. El cual salió unos meses después. Mi error fue que desde el inicio desactivé las actualizaciones automáticas (realmente no me interesaba nada), y obviamente no me ocupe de hacerlo manualmente. Desde hace seis meses que le estoy dando un buen uso. Pero las demás actualizaciones ya no corren.
Es lo bueno de usar software libre... oh wait!
#24
¿¿??
Debian y Ubuntu ya publicaron actualizaciones. Fedora estaba en eso. Y el Exploit no fue desarrollado por delincuentes sino por investigadores.
Es cierto que el software libre no se reveló tan útil en materia de prevenir problemas de seguridad como podría serlo. Pero en este caso respondió tan rápido como el software privativo www.debian.org/security/2017/dsa-3999 wiki.ubuntu.com/Security/Upgrades
#24 algunos ni leéis...
#24 ¿Ese software libre que se ciñe a los estándares de mierda de los de 802.11 y que por eso es vulnerable?
Gracias por los negativos en #24. Había olvidado que sobre Software Libre no se puede ni bromear en méneame. Gracias por recordarlo.
Recién descubierta... Que sepamos. ¿Cuánto tiempo la habrán estado usando? :tinfoil:
#36 Ha sido lo primero que he pensado. Cuando tiempo llevará rulando esto como un zero-day de esos. Vivimos en la inopia.
Sensacionalismo del malo...
Errónea, Microsoft no ha sido la primera. En GNU/Linux se parcheó a las pocas horas.
#46 A las pocas horas... ¿de ayer? ¿Qué tal si te lees la noticia?

Microsoft ha confirmado que el fallo fue parcheado el 10 de octubre.
#81 ¿Qué tal si miras que han actualizado la noticia un par de veces?
#83 Entonces has dicho lo de "errónea" desde la ignorancia, entiendo.
Vaya mierda de titular, muy en la línea de la "alta calidad" a la que nos tiene acostumbrados ese blog infantil :palm:
¿Google hater? Seriedad, hombre.
#47 ¿Qué le pasa al titular? No le falta razón. Google es un puto desastre con actualizaciones de seguridad (por no hablar de las que no son de seguridad). En Windows la actualización llegó según se publicó el ataque (ya estaba implementado el parche de antes, pero estaban esperando al disclosure). A Android tardará, en el mejor de los casos, semanas en llegar. Probablemente meses.
#84 El titular es un ataque gratuíto contra Google, y no veo que arremeta de igual forma contra Cisco, Lenovo, Netgear, Asus y tantos otros fabricantes responsables. El titular es la definición exacta de agravio comparativo, y más que informar objetivamente, es un título malintencionado.
#92 El artículo no habla de routers, habla de terminales clientes. Actualizar infraestructura siempre es muchísimo más difícil que terminales de usuario.

Dentro de los equipos de usuario, Google es comparativamente muchísimo peor en este aspecto que el resto, no solo por el corto soporte (muchas veces ni 2 años, frente a los 15 de XP) y la segmentación si no por la tardanza en actualizar. Es objetivo y justo que reciba un escarnio público.
#93 Todos los que te he indicado son clientes. Eso ya me da una pista de tu conocimiento del medio.
Pero oye, si quieres proclamar tu odio a Google, adelante, sin excusas.
Y lo del escarnio público, creo que es mear fuera del tiesto. ¿Objetivo y justo? Claro, señoría, tú eres juez y jurado, como entidad competente en la materia xD
Si no estás de acuerdo con la política de un fabricante, no la uses. Pero si aceptas sus 18 meses de soporte, luego no me vengas con pataletas.

Insisto que no se trata de información objetiva, es un ataque gratuíto igual que el tuyo. Si tu odio a Google te ciega, es otro tema.
#100 Si no eres capaz de ver que Google es el peor, y con mucha diferencia (Incluso los de LineageOs, aficionados, ya tienen el parche para hacer rollout), entre los mantenedores de un SO de uso general que hay en la actualidad, háztelo ver.
Y te lo dice uno que no toca ni con el palo de una escoba un dispositivo de Apple ni de Microsoft.
#100 Efectivamente, el titular es para conseguir el click rápido de la página, pero por otro lado tiene razón. Puede que estemos aceptando la política de 18 meses de soporte de Google porque no hay otra opción en smartphones que aceptar. Lo que está claro es que deja en evidencia su nefasta política de actualizaciones.
Wifislax tardará un poco más en parchear me parece a mi :troll:
#48 Par favar, un Perez haciendo el mejor chiste del hilo y nadie se digna a darle unos buenos mis dieses. El mundo va mal.

Mi dieses Mr Perez.
Y los repetidores wifi?
#51 pues teniendo en cuenta que la mayoria actuan como cliente del ap principal y que no reciben actualizaciones de firmware jamas salvo en contadisimas ocasiones, es muy probable que sean vulnerables en mayor medida que los so de cliente.
#51 eso existe?
#65 los repetidores wifi?
#70 para dentro de una casa. ¿Existen? ¿Se puede hacer que un router actúe como repetidor?
#74 Existen repetidores WIFI y también muchos routers pueden actuar de ese modo.
#75 tienen que ser específicos o un router normal se puede convertir en repetidor?
#95 Depende del modelo, algunos pueden otros no. Y luego hay aparatos específicos que no cuestan mucho.
#95 la mayoria de los routers modernos pueden convertirse en repetidores facilmente, los mas antiguos necesitan usar otros protocolos y necesitan routers compatibles.
#74 Creia que estabas de cachondeo... Claro que existen y son muy comunes. Son como routers pero mas pequeños y permiten conectar a una red wifi a la vez que ellos generan otra y gestionan el trafico entre ambas.
Se utilizan para dar cobertura a aquellos puntos en los que la red wifi principal no llega. La verdad es que su uso está tan extendido que por eso creia que estabas de cachondeo.

Un router podrá hacer de repetidor si tiene ese modo de funcionamiento, sino no. Pero normalmente son…   » ver todo el comentario
#98 #120 #108 tengo un router que me enviaron por error repetido y quería ponerlo para repetir wifi. luego os digo el modelo.
Corregidme si me equivoco. La encriptación como tal de wpa2 no ha sido reventada, sino ciertos fallos en los protocolos del uso de este sistema, concretamente, en el momento de conectarse a la red.
No entiendo, no son los routers los que deberían actualizarse ya que son los que crean la red wifi?
He escrito en adslzone que Microsoft no fue el primero si no BSD y el escritor me ha borrado el comentario...
#73 Por favor, no pongáis "BSD", poned OpenBSD, "BSD" es como decir "coches" cuando hay distintos y da lugar a error.
Google no sé pero LineageOS ya tiene el código parcheado para que los mantenedores lo compilen. Y otros sistemas operativos ayer o antes ya tenían las actualizaciones en los repositorios.  media
«12
comentarios cerrados

menéame