Cómo gestiona Surface Hub los problemas de seguridad de Wi-Fi Direct

Microsoft Surface Hub es un dispositivo de productividad todo en uno que permite a los equipos realizar una mejor lluvia de ideas, colaborar y compartir ideas. Surface Hub se basa en Miracast para la proyección inalámbrica mediante el uso de Wi-Fi Direct.

En este tema se proporcionan instrucciones acerca de las vulnerabilidades de seguridad de Wi-Fi Direct, acerca de cómo Surface Hub aborda estos riesgos y acerca de cómo los administradores de Surface Hub pueden configurar el máximo nivel de seguridad. Esta información de protección ayudará a los clientes con altos requisitos de seguridad a comprender cuál es la mejor manera de proteger sus redes conectadas de Surface Hub y los datos en tránsito.

Este tema está dirigido a administradores de TI y de red interesados en implementar Microsoft Surface Hub en su entorno corporativo con opciones de configuración de seguridad óptimas.

Información general

La seguridad de Microsoft Surface Hub depende en gran parte de Wi-Fi Direct o Miracast y de los estándares 802.11, Acceso protegido Wi-Fi (WPA2) y Wireless Protected Setup (WPS) asociados. Dado que el dispositivo solo admite WPS (en lugar de clave precompartida de WPA2 (PSK) o WPA2 Enterprise), los problemas que se asociaban tradicionalmente con el cifrado 802.11 se simplificaron por diseño.

Es importante tener en cuenta que Surface Hub funciona del mismo modo con el campo de receptores de Miracast, lo que significa que está protegido de y es vulnerable al mismo conjunto de vulnerabilidades que todos los dispositivos de red inalámbrica basados en WPS. Sin embargo, la implementación de Surface Hub de WPS tiene precauciones adicionales integradas y su arquitectura interna ayuda a evitar que un atacante, incluso después de poner en peligro la capa de Wi-Fi Direct o Miracast, avance más allá de la interfaz de red a otras superficies de ataque y redes de empresas conectadas, consulta Vulnerabilidades de Wi-Fi Direct y cómo las soluciona Surface Hub.

Wi-Fi Direct en segundo plano

Miracast pertenece al estándar de Wi-Fi Display, que también es compatible con el protocolo de Wi-Fi Direct. Estos estándares son compatibles con dispositivos móviles modernos para colaboración y uso compartido de pantalla.

Wi-Fi Direct o Wi-Fi "Punto a punto" (P2P) es un estándar que publica Wi-Fi Alliance para las redes "Ad-Hoc". Esto permite que los dispositivos compatibles se puedan comunicar directamente y creen grupos de redes sin necesidad de un punto de acceso Wi-Fi tradicional o una conexión a Internet.

La seguridad de Wi-Fi Direct la proporciona WPA2 con el estándar WPS. El mecanismo de autenticación para dispositivos puede ser un PIN numérico (PIN de WPS), un botón de comando físico o virtual (WPS-PBC) o un mensaje fuera de banda como transmisión de datos en proximidad (WPS OOO). El dispositivo Microsoft Surface Hub es compatible tanto con el método de PIN como con el método de botón de comando (que es el predeterminado).

En Wi-Fi Direct, los grupos se crean como "persistentes", lo que permite una reconexión automática con material de la clave almacenada, o "temporales", donde los dispositivos no se pueden volver a autenticar sin intervenciones ni acciones del usuario. Los grupos de Wi-Fi Direct determinarán normalmente a un propietario del grupo a través de un protocolo de negociación, que imita las funcionalidades de "estación" o "Punto de acceso" para el grupo de Wi-Fi Direct establecido. Este propietario del grupo de Wi-Fi Direct proporciona autenticación (a través de un registro interno), y facilita las conexiones de rede ascendentes. Para Surface Hub, esta negociación de propietario del grupo no se produce, ya que la red funciona únicamente en el modo "autónomo", donde Surface Hub es siempre el propietario del grupo. Por último, Surface Hub no podrá unirse a otras redes de Wi-Fi Direct como si fuera un cliente.

Vulnerabilidades de Wi-Fi Direct y cómo las soluciona Surface Hub

Vulnerabilidades y ataques en el proceso de invitación, difusión y detección de Wi-Fi Direct: los ataques a Wi-Fi Direct y Miracast pueden dirigirse a los puntos débiles de los procesos de invitación, establecimiento de grupo, detección de pares o difusión en dispositivos.

Vulnerabilidad de Wi-Fi Direct Mitigación de Surface Hub
El proceso de detección puede permanecer activo durante un largo período de tiempo, lo que podría permitir que se establecieran invitaciones y conexiones sin la intención del propietario del dispositivo. Surface Hub solo funciona como propietario del grupo, por lo que no realiza los procesos de negociación de propietario del grupo ni la detección de cliente. La difusión puede desactivarse si se deshabilita completamente la proyección inalámbrica.
La invitación y detección mediante PBC permite que un atacante no autenticado realice varios intentos de conexión y que las conexiones no autenticadas se acepten automáticamente. Al exigir seguridad de PIN de WPS, los administradores pueden reducir la posibilidad de tales conexiones no autorizadas o "bombas de invitación" (que se trata de invitaciones que se envían repetidamente hasta que un usuario acepta una por erro).

Conexión mediante botón de comando (PBC) de Configuración protegida de Wi-Fi (WPS) vs. introducción de PIN: la implementación y diseño del método PIN de WPS ha mostrado los puntos débiles públicos, existen otras vulnerabilidades en WPS-PBC, que incluyen ataques activos contra un protocolo diseñado para un único uso.

Vulnerabilidad de Wi-Fi Direct Mitigación de Surface Hub
WPS-PBC es vulnerable a atacantes activos. Como se indicó en la especificación de WPS: "El método PBC tiene cero bits de entropía y solo protege contra los ataques de interceptación pasivos. PBC protege contra los ataques de interceptación y toma medidas para evitar que un dispositivo se una a una red que no seleccionó el propietario del dispositivo. Sin embargo, la ausencia de autenticación significa que PBC no protege contra los ataques activos". Los atacantes pueden usar interferencias inalámbricas selectivas u otras posibles vulnerabilidades por denegación de servicio para desencadenar una conexión o propietario del grupo de Wi-Fi Direct no deseados. Además, un atacante activo, con solo proximidad física, puede destruir repetidamente cualquier grupo de Wi-Fi Direct e intentar el ataque descrito hasta que se realice correctamente. Habilite la seguridad de PIN de WPS en la configuración de Surface Hub. Como se describe en la especificación de Wi-Fi WPS: "El método PBC solo debe usarse si hay disponible un registro compatible con PIN y el usuario de WLAN está dispuesto a aceptar los riesgos asociados con PBC".
Las implementaciones de PIN de WPS pueden ser por fuerza bruta usando una vulnerabilidad del estándar WPS. Debido al diseño de comprobación de PIN dividido, se produjeron diferentes vulnerabilidades de implementación en los últimos años en una amplia gama de fabricantes de hardware de Wi-Fi. En 2011, dos investigadores (Stefan Viehböck y Craig Heffner) publicaron información acerca de esta vulnerabilidad y herramientas como "Reaver" como prueba de concepto. La implementación de Microsoft de WPS en Surface Hub cambia el PIN cada 30 segundos. Para averiguar el PIN, un atacante debe solucionar la vulnerabilidad de seguridad completa en menos de 30 segundos. Dado el estado actual de las herramientas y la investigación en esta área, un ataque de fuerza bruta para averiguar un PIN a través de WPS es poco probable.
Un PIN de WPS se puede descifrar con un ataque sin conexión debido a la entropía de una clave inicial débil (E-S1,E S2). En 2014, Dominique Bongard describió un ataque "Pixie Dust" donde la deficiente selección aleatoria inicial del generador pseudoaleatorio de números (PRNG) en el dispositivo inalámbrico provocó que se pudiera llevar a cabo un ataque de fuerza bruta sin conexión. La implementación de Microsoft de WPS en Surface Hub no es susceptible de sufrir este ataque de fuerza bruta de PIN sin conexión. El PIN de WPS es aleatorio para cada conexión.

Exposición no intencionada de servicios de red: los demonios de red destinados a los servicios Ethernet o WLAN pueden exponerse accidentalmente debido a errores de configuración (por ejemplo, el enlace a interfaces “all”/0.0.0.0), a un firewall de dispositivo mal configurado o a la falta de reglas de firewall.

Vulnerabilidad de Wi-Fi Direct Mitigación de Surface Hub
Un error de configuración enlaza un servicio de red no autenticado o vulnerable a interfaces "all", incluida la interfaz de Wi-Fi Direct. Esto expone potencialmente servicios no previstos para ser accesibles a los clientes de Wi-Fi Direct, que pueden ser autenticados automáticamente o de una manera débil. En Surface Hub, las reglas de firewall predeterminadas solo permiten que los puertos de red TCP y UDP requeridos y predeterminados denieguen todas las conexiones entrantes. Una autenticación sólida puede configurarse mediante la habilitación del modo PIN de WPS.

Crear un puente de unión entre Wi-Fi Direct y otras redes con cables o inalámbricas: aunque la creación de puentes de red entre redes WLAN o Ethernet es una infracción de la especificación de Wi-Fi Direct, este puente o error de configuración puede reducir eficazmente o eliminar los controles de acceso inalámbricos de la red corporativa interna.

Vulnerabilidad de Wi-Fi Direct Mitigación de Surface Hub
Los dispositivos de Wi-Fi Direct podrían permitir acceso no autenticado o deficiente para las conexiones de red conectadas. Esto puede permitir que redes de Wi-Fi Direct enruten tráfico a Ethernet LAN interno o a otras infraestructuras o redes WLAN empresariales infringiendo protocolos de seguridad de TI existentes. Surface Hub no puede configurarse para crear puentes de unión entre interfaces inalámbricas ni para permitir el enrutamiento entre redes diferentes. Las reglas de firewall predeterminadas agregan una defensa más profunda para este tipo de conexiones de enrutamiento o puente.

Uso del modo "heredado" de Wi-Fi Direct: la exposición a dispositivos o redes no intencionadas al operar en modo "heredado" puede suponer un riesgo. Si no está habilitado el PIN de WPS, se podrían producir conexiones no intencionadas o suplantación de identidades del dispositivo.

Vulnerabilidad de Wi-Fi Direct Mitigación de Surface Hub
Al ser compatible con los clientes de infraestructura 802.11 y Wi-Fi Direct, el sistema funciona en un modo de compatibilidad "heredado". Esto puede exponer la fase de configuración de conexión indefinidamente, lo que permite la unión a grupos o que se invite a dispositivos a conectarse después de finalizar la fase de configuración. Surface Hub no admite clientes heredados de Wi-Fi Direct. Solo se pueden realizar conexiones de Wi-Fi Direct a Surface Hub, incluso cuando el modo PIN de WPS está habilitado.

Negociación de propietario del grupo de Wi-Fi Direct durante la configuración de conexiones: el propietario del grupo de Wi-Fi Direct es análogo al "Punto de acceso" en una red inalámbrica 802.11 tradicional. Un dispositivo malintencionado puede sortear la negociación.

Vulnerabilidad de Wi-Fi Direct Mitigación de Surface Hub
Si los grupos se establecen de forma dinámica o si el dispositivo Wi-Fi Direct puede establecerse para unirse a grupos nuevos, la negociación del propietario del grupo podría ganarla un dispositivo malintencionado siempre que especifique el valor máximo (que es 15) de "intención" del propietario del grupo. (A menos que dicho dispositivo esté configurado para ser siempre el propietario de un grupo, en cuyo caso se produce un error en la conexión.) Surface Hub aprovecha las ventajas del "Modo autónomo" de Wi-Fi Direct, que omite la fase de negociación del propietario del grupo de la configuración de conexión. Surface Hub es siempre el propietario del grupo.

Desautenticación de Wi-Fi malintencionada o no intencionado: la desautenticación de Wi-Fi es un ataque antiguo que puede usar un atacante físicamente local para acelerar las pérdidas de información contra el proceso de configuración de conexión, desencadenar nuevos protocolos de enlace de cuatro direcciones, dirigirse a WPS-PBC de Wi-Fi Direct para ataques activos o crear ataques de denegación de servicio.

Vulnerabilidad de Wi-Fi Direct Mitigación de Surface Hub
Los paquetes de desautenticación pueden enviarse a un atacante no autenticado para hacer que la estación vuelva a autenticarse y examinar el protocolo de enlace resultante. Pueden intentarse ataque criptográfico o de fuerza bruta en el protocolo de enlace resultante. Entre las mitigaciones de estos ataques se incluyen: aplicar directivas de longitud y complejidad para claves precompartidas; configurar el punto de acceso (si procede) para detectar niveles malintencionados de paquetes desautenticados; y el uso de WPS para generar automáticamente las claves seguras. En el modo PBC, el usuario interactúa con un botón físico o virtual para permitir la asociación de dispositivos arbitrarios. Este proceso solo debe ocurrir durante la instalación en una ventana pequeña, una vez que se pulsa el botón automáticamente, el dispositivo aceptará cualquier estación que se asocie a través de un valor PIN canónico (todo ceros). La desautenticación puede forzar un proceso de instalación repetido. El diseño actual de Surface Hub usa WPS en modo PIN o PBC. No se permite ninguna configuración de PSK, para ayudar al cumplimiento de la generación de claves seguras. Se recomienda habilitar PIN de WPS.
Más allá de los ataques de denegación de servicio, los paquetes de desautenticación también pueden usarse para desencadenar una reconexión que volverá a abrir la ventana de oportunidades para ataques activos contra WPS-PBC. Habilite la seguridad de PIN de WPS en la configuración de Surface Hub.

Divulgación de información inalámbrica básica: las redes inalámbricas, 802.11 o de otro tipo, son inherentemente fuentes de divulgación de información. Aunque la información son prácticamente metadatos de dispositivo o conexión, sigue siendo un riesgo que acepta cualquier administrador de 802.11. Wi-Fi Direct con autenticación de dispositivos a través de PIN de WPS revela eficazmente la misma información como una red PSK o Enterprise 802.11

Vulnerabilidad de Wi-Fi Direct Mitigación de Surface Hub
Durante la difusión, la configuración de conexión, o incluso con conexiones ya cifradas, se transmite inalámbricamente información básica acerca de los dispositivos y tamaños de paquetes. En un nivel básico, un atacante local dentro del alcance inalámbrico puede determinar los nombres de los dispositivos inalámbricos, las direcciones MAC de los equipos que se están comunicando y, posiblemente, otros detalles como la versión de la pila inalámbrica, el tamaño de los paquetes o las opciones configuradas de punto de acceso o propietario del grupo, mediante la examinación de los elementos de información de 802.11 relevantes. La red de Wi-Fi Direct que emplea Surface Hub no puede protegerse más de pérdidas de metadatos, del mismo modo que las redes inalámbricas 802.11 Enterprise o PSK también pierden estos metadatos. La seguridad física y la eliminación de posibles amenazas de la proximidad inalámbrica pueden usarse para reducir cualquier posible pérdida de información.

Ataques "Evil Twin" o de suplantación de identidades: suplantar el nombre inalámbrico es una vulnerabilidad de seguridad conocida y trivial para un atacante físicamente local para atraer a usuarios confundidos o desprevenidos a conectarse.

Vulnerabilidad de Wi-Fi Direct Mitigación de Surface Hub
Mediante la suplantación de identidad o la clonación del nombre inalámbrico o "SSID" de la red de destino, un atacante puede engañar al usuario para que se conecte a una red malintencionada falsa. Al admitir Miracast no autenticado y de unión automática, un atacante puede capturar los materiales de visualización previstos o intentar ataques de red en el dispositivo de conexión. Si no existe protección específica contra la unión a un dispositivo Surface Hub falsificado, este ataque se mitiga parcialmente de dos maneras. En primer lugar, cualquier potencial ataque debe producirse físicamente dentro del alcance Wi-Fi. En segundo lugar, este ataque solo es posible durante la primera conexión. Las conexiones posteriores usan un grupo de Wi-Fi Direct persistente y Windows recordará y dará prioridad a esta conexión anterior durante el uso futuro de Hub. (Nota: la suplantación simultánea de direcciones MAC, el canal Wi-Fi y SSID no se consideró para este informe y puede provocar un comportamiento incoherente de Wi-Fi.) En general, este punto débil es un problema fundamental de cualquier red inalámbrica 802.11 que no use protocolos Enterprise WPA, como EAP-TLS o EAP-PWD, que no son compatibles con Wi-Fi Direct.

Directrices de refuerzo de Surface Hub

Surface Hub está diseñado para facilitar la colaboración y permitir que los usuarios puedan iniciar o unirse a reuniones de una manera rápida y eficaz. Como tal, la configuración de Wi-Fi Direct predeterminada para Surface Hub está optimizada para este escenario.

Para los usuarios que requieren una seguridad adicional alrededor de la interfaz inalámbrica, recomendamos que los usuarios de Surface Hub habiliten la configuración de seguridad de PIN de WPS. Esto deshabilita el modo de WPS-PBC y ofrece la autenticación de cliente, y proporciona el mayor nivel de protección al impedir conexiones no autorizadas a Surface Hub.

Si todavía tienes dudas acerca de la autenticación y autorización de un dispositivo Surface Hub, recomendamos que los usuarios conecten el dispositivo a otra red, ya sea Wi-Fi (por ejemplo, una red Wi-Fi de invitado) o que usen una red Ethernet independiente (preferiblemente una red física totalmente diferente, pero una VLAN también puede proporcionar seguridad añadida). Por supuesto, este enfoque puede excluir conexiones a servicios o recursos de red interna, y puede requerir configuraciones de red adicionales para recuperar el acceso.

También se recomienda:

Más información