Mathy Vanhoef, skrywer van die KRACK-aanval op WPA2-draadlose netwerke, en Eyal Ronen, mede-outeur van verskeie aanvalle op TLS, het ses kwesbaarhede (CVE-2019-9494 - CVE-2019-9499) in die tegnologiebeskerming van WPA3-draadlose netwerke onthul , wat jou toelaat om die verbindingswagwoord te herskep en toegang tot die draadlose netwerk te verkry sonder om die wagwoord te ken. Die kwesbaarhede word onder die kodenaam Dragonblood gegroepeer en laat Dragonfly se verbindingsonderhandelingsmetode in gevaar, wat beskerming bied teen vanlyn wagwoordraai. Benewens WPA3, word die Dragonfly-metode ook gebruik om te beskerm teen woordeboekraai in die EAP-pwd-protokol wat deur Android, RADIUS-bedieners en hostapd/wpa_supplicant gebruik word.
Die studie het twee hooftipes argitektoniese probleme in WPA3 geïdentifiseer. Beide tipes probleme kan uiteindelik gebruik word om 'n toegangswagwoord te herskep. Die eerste tipe laat jou toe om terug te val na onbetroubare kriptografiese metodes (afgradeer aanval): beteken om verenigbaarheid met WPA2 te verseker (transito-modus wat die gebruik van WPA2 en WPA3 toelaat) laat 'n aanvaller toe om die kliënt te dwing om die vierrigtingverbindingsonderhandeling wat gebruik word, uit te voer deur WPA2, wat verdere gebruik van klassieke brute-force-aanvalle-wagwoorde van toepassing op WPA2 moontlik maak. Daarbenewens is die moontlikheid geopenbaar om 'n afgraderingsaanval direk op die Dragonfly-verbinding-passingsmetode uit te voer, wat jou toelaat om terug te rol na minder veilige tipes elliptiese kurwes.
Die tweede tipe probleme lei tot die lekkasie van inligting oor die kenmerke van die wagwoord deur derdeparty-kanale en is gebaseer op foute in die wagwoordkoderingsmetode in Dragonfly, wat indirekte data, soos veranderinge in vertragings tydens bedrywighede, toelaat om te herskep die oorspronklike wagwoord. Dragonfly se hash-tot-elliptiese kurwe-algoritme (hash-to-curve) is vatbaar vir aanvalle deur inligting na te spoor wat in die verwerkerkas gevestig word (kasaanval), en die hash-tot-groep-algoritme is vatbaar vir aanvalle deur uitvoeringstydmetingsoperasies (tydberekeningsaanval) ).
Om aanvalle deur kasontleding uit te voer, moet 'n aanvaller onbevoorregte kode kan uitvoer op die stelsel van 'n gebruiker wat aan 'n draadlose netwerk koppel. Beide metodes maak dit moontlik om die nodige inligting te bekom om die korrektheid van die keuse van dele van die wagwoord in die proses van die keuse daarvan te verduidelik. Die doeltreffendheid van die aanval is redelik hoog en laat jou toe om 'n wagwoord van 8 karakters te raai wat kleinletters insluit, wat slegs 40 verbindingsonderhandelingsessies (handdruk) onderskep en hulpbronne gelykstaande aan die huur van Amazon EC2-kapasiteit vir $125 spandeer.
Gebaseer op die geïdentifiseerde kwesbaarhede, is verskeie aanvalscenario's voorgestel:
- Terugdraai-aanval op WPA2 met die vermoë om woordeboekkeuse uit te voer. In omstandighede waar die kliënt en toegangspunt beide WPA3 en WPA2 ondersteun, kan 'n aanvaller hul eie skelm toegangspunt met dieselfde netwerknaam ontplooi wat net WPA2 ondersteun. In so 'n situasie sal die kliënt die WPA2-spesifieke verbindingsonderhandelingsmetode gebruik, waartydens die ontoelaatbaarheid van so 'n terugrol bepaal sal word, maar dit sal gedoen word op die stadium wanneer die kanaalonderhandelingsboodskappe gestuur is en al die nodige inligting want 'n woordeboekaanval het reeds uitgelek. 'n Soortgelyke tegniek kan gebruik word om terug te val na problematiese weergawes van elliptiese kurwes in SAE.
Daarbenewens is gevind dat die iwd-daemon, ontwikkel deur Intel as 'n alternatief vir wpa_supplicant, en die Samsung Galaxy S10 draadlose stapel gevind is dat hulle selfs op WPA3-net-netwerke afgegradeer is - as hierdie toestelle voorheen aan 'n WPA3-netwerk gekoppel is, sal probeer om aan dummy WPA2-netwerk met dieselfde naam te koppel.
- Aanval deur derdeparty-kanale met die onttrekking van inligting uit die verwerkerkas. Die wagwoordenkoderingsalgoritme in Dragonfly bevat voorwaardelike vertakking, en die aanvaller, wat die kode in die draadlose netwerkgebruiker se stelsel kan uitvoer, kan bepaal watter een van die as-dan-ander uitdrukkingsblokke gekies word op grond van die ontleding van die kasgedrag . Die inligting wat verkry word, kan gebruik word om progressiewe wagwoordraai uit te voer deur metodes soortgelyk aan vanlyn woordeboekaanvalle uit te voer om WPA2-wagwoorde te raai. Vir beskerming word voorgestel om oor te skakel na die gebruik van bewerkings met 'n konstante uitvoeringstyd wat nie afhang van die aard van die data wat verwerk word nie;
- Aanval deur derdeparty-kanale met 'n skatting van die tyd van operasies. Die Dragonfly-kode gebruik veelvuldige vermenigvuldigingsgroepe (MODP's) en 'n veranderlike aantal iterasies om wagwoorde te enkodeer, afhangende van die wagwoord wat gebruik word en die MAC-adres van die toegangspunt of kliënt. 'n Afgeleë aanvaller kan bepaal hoeveel iterasies tydens wagwoordkodering uitgevoer is en dit as 'n leidraad in progressiewe wagwoordraai gebruik.
- Bel ontkenning van diens. 'n Aanvaller kan die werking van sekere funksies van die toegangspunt blokkeer as gevolg van die uitputting van beskikbare hulpbronne deur 'n groot aantal versoeke te stuur vir die onderhandeling van 'n kommunikasiekanaal. Om die vloedbeskerming wat deur WPA3 verskaf word, te omseil, is dit genoeg om versoeke van fiktiewe nie-herhalende MAC-adresse te stuur.
- Terugval na minder veilige kriptografiese groepe wat in die WPA3-verbindingsonderhandelingsproses gebruik word. Byvoorbeeld, as 'n kliënt P-521 en P-256 elliptiese kurwes ondersteun, en P-521 as 'n prioriteit opsie gebruik, dan is 'n aanvaller, ongeag ondersteuning
P-521 aan die kant van die toegangspunt, kan die kliënt dwing om die P-256 te gebruik. Die aanval word uitgevoer deur sommige boodskappe tydens die verbindingsonderhandelingsproses uit te filter en vals boodskappe te stuur met inligting oor die gebrek aan ondersteuning vir sekere soorte elliptiese kurwes.
Om toestelle vir kwesbaarhede na te gaan, is verskeie skrifte voorberei met voorbeelde van aanvalle:
- Dragonslayer - implementering van aanvalle op EAP-pwd;
- Dragondrain is 'n hulpmiddel om toegangspuntkwesbaarhede na te gaan in die implementering van die Simultaneous Authentication of Equals (SAE)-verbindingsonderhandelingsmetode, wat gebruik kan word om 'n ontkenning van diens te inisieer;
- Dragontime - 'n skrif vir die uitvoering van 'n derdeparty-aanval teen SAE, met inagneming van die verskil in die verwerkingstyd van bedrywighede wanneer groepe MODP 22, 23 en 24 gebruik word;
- Dragonforce is 'n hulpmiddel vir die herwinning van inligting (wagwoordraai) gebaseer op inligting oor verskillende verwerkingstye vir bedrywighede of die bepaling van data wat in die kas gevestig word.
Die Wi-Fi Alliance, wat standaarde vir draadlose netwerke ontwikkel, het aangekondig dat die probleem 'n beperkte aantal vroeë implementerings van WPA3-Personal raak en reggestel kan word deur 'n firmware- en sagteware-opdatering. Die feite van die gebruik van kwesbaarhede om kwaadwillige handelinge uit te voer is nog nie aangeteken nie. Om sekuriteit te verbeter, het die Wi-Fi Alliance bykomende toetse by die draadlose toestel-sertifiseringsprogram gevoeg om die korrekte implementerings te verifieer, en het toestelvervaardigers gekontak om gesamentlik die oplossing van geïdentifiseerde kwessies te koördineer. Kwessie-kolle is reeds vrygestel vir hostap/wpa_supplicant. Pakketopdaterings is beskikbaar vir Ubuntu. Op Debian, RHEL, SUSE/openSUSE, Arch, Fedora en FreeBSD is die kwessies steeds nie reggestel nie.
Bron: opennet.ru