RSN IE - это необязательное поле, которое можно найти в рамах управления 802.11. Одной из возможностей RSN является PMKID. PMKID вычисляется с использованием HMAC-SHA1, где ключ является PMK, а часть данных представляет собой конкатенацию фиксированной строковой метки «PMK Name», MAC-адрес точки доступа и MAC-адрес станции. Поскольку PMK такой же, как в обычном четырехстороннем рукопожатии EAPOL, это идеальный вектор атаки.

Мы получаем все необходимые данные в первом кадре EAPOL из AP.

Основное отличие от существующих атак заключается в том, что в этой атаке захват полного 4-стороннего рукопожатия EAPOL не требуется. Новая атака выполняется в IE RSN (надежный сетевой информационный элемент безопасности) одного кадра EAPOL.

В настоящее время мы не знаем, для каких поставщиков или для какого количества маршрутизаторов этот метод будет работать, но мы думаем, что он будет работать против всех сетей 802.11i / p / q / r с включенными функциями роуминга (большинство современных маршрутизаторов).

Основными преимуществами этой атаки являются следующие:

• Больше не требуется регулярных пользователей - потому что злоумышленник напрямую связывается с AP (иначе говоря, «без клиента»)
  
• Больше не нужно ждать полного 4-стороннего рукопожатия между обычным пользователем и AP
  
• Отсутствие ретрансмиссии кадров EAPOL (что может привести к результатам, которые невозможно устранить)
  
• Исключает неверные пароли, посланные обычным пользователем
  
• Больше нет потерянных кадров EAPOL, когда обычный пользователь или AP находится слишком далеко от злоумышленника
  
• Больше не требуется фиксировать значения nonce и replaycounter (что приводит к чуть более высоким скоростям)
  
• Больше нет специального формата вывода (pcap, hccapx и т. Д.) - окончательные данные будут отображаться как обычная строка с шестнадцатеричным кодированием

Нам потребуются:

• hcxdumptool v4.2.0 или выше
  
• hcxtools v4.2.0 или выше
  
• hashcat v4.2.0 или выше

Производим атаку:

1.

Ждем, пока в выводе не увидим что-то подобное:

2.

Переводим в нужный формат и скармливаем наш файл хэшкэту (да-да, по прежнему нужно брутить, так что пока не как с WEP)

Собственно на этом всё. Думаю это значительно облегчит брут точек с клиентскими устройствами, находящимися вне диапазона атакующего, а также откроет возможность быстрого сбора хэндшейков с пустых сетей в любых интересующих местах. Пишите, какие роутеры поддаются на практике, а то возможности протестировать пока нет. Осмелюсь также предположить, что в перспективе данная уязвимость будет лечиться обновлением прошивки на AP.

Оригинал статьи (советую почитать, я перевёл только основное) - https://hashcat.net/forum/thread-7717.html