Нягледзячы на тое, што новы стандарт WPA3 яшчэ толкам не ўведзены ў эксплуатацыю, недахопы бяспекі ў гэтым пратаколе дазваляюць зламыснікам узламаць пароль Wi-Fi.
Пратакол Wi-Fi Protected Access III (WPA3) быў запушчаны ў спробе ўхіліць тэхнічныя недахопы пратаколу WPA2, які доўгі час лічыўся небяспечным і ўразлівым для KRACK-напады (Key Reinstallation Attack). Хоць WPA3 абапіраецца на больш бяспечны поціск рукі, вядомае як Dragonfly, якое накіравана на абарону сетак Wi-Fi ад аўтаномных нападаў па слоўніку (афлайн-перабор), даследнікі бяспекі Mathy Vanhoef і Eyal Ronen выявілі слабыя месцы ў ранняй рэалізацыі WPA3-Personal, якія могуць дазволіць зламысніку аднавіць Wi-Fi-паролі, злоўжываючы таймінгамі або пабочным кэшам.
«Зламыснікі могуць прачытаць інфармацыю, якую, як меркавалася, WPA3 бяспечна шыфруе. Гэта можа быць скарыстана для крадзяжу канфідэнцыйнай інфармацыі, такі як нумары крэдытных карт, паролі, паведамленні чата, электронныя лісты і т. д.»
У апублікаваным сёння , Названым DragonBlood, даследнікі падрабязна разгледзелі два тыпу недахопаў праектавання ў WPA3: першы вядзе да нападаў з паніжэннем рэйтынгу, а другі – да ўцечак пабочнага кэша.
Атака па пабочным канале на аснове кэшу
Алгарытм кадавання пароля ў Dragonfly, таксама вядомы як алгарытм "палявання і клявання" (hunting and pecking), змяшчае ўмоўныя галіны. Калі зламыснік можа вызначыць, якая галіна галіны if-then-else была ўзятая, ён можа пазнаць, ці быў знойдзены элемент пароля ў пэўнай ітэрацыі гэтага алгарытму. На практыцы было выяўлена, што калі зламыснік можа запусціць непрывілеяваны код на кампутары-ахвяры, магчыма выкарыстоўваць напады на аснове кэша, каб вызначыць, якая галіна была зроблена ў першай ітэрацыі алгарытму генерацыі пароля. Гэтая інфармацыя можа быць скарыстана для выканання нападу з падзелам пароля (гэта падобна на аўтаномны напад па слоўніку).
Гэтая ўразлівасць адсочваецца з выкарыстаннем ідэнтыфікатара CVE-2019-9494.
Абарона заключаецца ў замене ўмоўных галін, якія залежаць ад сакрэтных значэнняў, утылітамі выбару з пастаянным часам. Рэалізацыі павінны таксама выкарыстоўваць вылічэнне з пастаянным часам.
Атака па пабочным канале на аснове сінхранізацыі
Калі поціск рукі Dragonfly выкарыстоўвае пэўныя мультыплікатыўныя групы, алгарытм кадавання пароля выкарыстоўвае пераменны лік ітэрацый для кадавання пароля. Дакладная колькасць ітэрацый залежыць ад выкарыстоўванага пароля і MAC-адрасы кропкі доступу і кліента. Зламыснік можа выканаць выдалены часавы напад на алгарытм кадавання пароля, каб вызначыць, колькі ітэрацый запатрабавалася для кадавання пароля. Адноўленая інфармацыя можа быць скарыстана для выканання парольнага нападу, якая падобная на аўтаномны слоўнікавы напад.
Каб прадухіліць напад на аснове сінхранізацыі, рэалізацыі павінны адключыць уразлівыя мультыплікатыўныя групы. З тэхнічнага пункта гледжання, групы MODP 22, 23 і 24 павінны быць адключаныя. Таксама рэкамендуецца адключыць групы MODP 1, 2 і 5.
Гэтая ўразлівасць таксама адсочваецца з выкарыстаннем ідэнтыфікатара CVE-2019-9494 з-за падабенства рэалізацыі нападу.
WPA3 downgrade
Паколькі 15-гадовы пратакол WPA2 шырока выкарыстоўваўся мільярдамі прылад, шырокае распаўсюджванне WPA3 не адбудзецца ў раптоўна. Для падтрымкі старых прылад сертыфікаваныя WPA3 прылады прапануюць "пераходны рэжым працы", які можна наладзіць для прыёму злучэнняў з выкарыстаннем як WPA3-SAE, так і WPA2.
Даследнікі лічаць, што пераходны рэжым уразлівы для нападаў з паніжэннем рэйтынгу, якія зламыснікі могуць выкарыстаць для стварэння ашуканскай кропкі доступу, якая падтрымлівае толькі WPA2, што прымушае прылады, якія падтрымліваюцца WPA3, падлучацца з дапамогай небяспечнага чатырохбаковага поціску рукі WPA2.
"Мы таксама выявілі атаку з паніжэннем рэйтынгу супраць самога поціску рукі SAE ("Адначасовая аўтэнтыфікацыя роўных", звычайна вядомага як "Страказа"), дзе мы можам прымусіць прыладу выкарыстоўваць больш слабую эліптычную крывую, чым звычайна", – кажуць даследчыкі.
Больш за тое, пазіцыя "чалавек пасярэдзіне" не патрэбна для правядзення атакі з паніжэннем рэйтынгу. Замест гэтага зламыснікам трэба ведаць толькі SSID сеткі WPA3-SAE.
Даследнікі паведамілі аб сваіх выніках Wi-Fi Alliance, некамерцыйнай арганізацыі, якая сертыфікуе стандарты WiFi і прадукты Wi-Fi на адпаведнасць, якія прызналі праблемы і працуюць з пастаўшчыкамі для выпраўлення існуючых прылад, сертыфікаваных WPA3.
PoC (на момант публікацыі – 404)
У якасці пацверджання канцэпцыі даследнікі ў хуткім часе выпусцяць наступныя чатыры асобных прылады (у рэпазітарах GitHub з гіперспасылкай ніжэй), якія можна выкарыстоўваць для праверкі ўразлівасцяў.
- інструмент, які можа праверыць, у якой ступені кропка доступу ўразлівая для Dos-нападаў на поціск рукі WPA3 Dragonfly.
— эксперыментальная прылада для правядзення часавых нападаў супраць поціску рукі Dragonfly.
— эксперыментальная прылада, якая атрымлівае інфармацыю для ўзнаўлення пасля часовых нападаў і выконвае парольны напад.
- Інструмент, які ажыццяўляе атакі на EAP-pwd.
Сайт праекта -
Крыніца: habr.com