Хакване на WPA3: DragonBlood

Въпреки че новият стандарт WPA3 все още не е напълно внедрен, пропуските в сигурността на този протокол позволяват на атакуващите да хакнат Wi-Fi пароли.

Wi-Fi Protected Access III (WPA3) беше пуснат в опит да се справят с техническите недостатъци на протокола WPA2, който дълго време се смяташе за несигурен и уязвим от KRACK (Key Reinstallation Attack). Въпреки че WPA3 разчита на по-сигурно ръкостискане, известно като Dragonfly, което има за цел да защити Wi-Fi мрежите от офлайн речникови атаки (офлайн груба сила), изследователите по сигурността Mathy Vanhoef и Eyal Ronen откриха слабости в ранното внедряване на WPA3-Personal, което може да позволи нападател за възстановяване на Wi-Fi пароли чрез злоупотреба с времена или странични кешове.

„Нападателите могат да прочетат информация, която WPA3 би трябвало да криптира сигурно. Това може да се използва за кражба на чувствителна информация като номера на кредитни карти, пароли, съобщения в чат, имейли и т.н.

Публикувано днес изследователски документ, наречен DragonBlood, изследователите са разгледали по-отблизо два типа дефекти в дизайна на WPA3: първият води до атаки за понижаване, а вторият води до изтичане на страничен кеш.

Атака на страничен канал, базирана на кеша

Алгоритъмът за кодиране на парола на Dragonfly, известен също като алгоритъм за лов и кълване, съдържа условни разклонения. Ако атакуващият може да определи кой клон на клона if-then-else е бил взет, той може да разбере дали елементът на паролата е намерен в определена итерация на този алгоритъм. На практика е установено, че ако атакуващият може да изпълни непривилегирован код на компютър жертва, е възможно да се използват базирани на кеш атаки, за да се определи кой клон е бил направен опит при първата итерация на алгоритъма за генериране на парола. Тази информация може да се използва за извършване на атака за разделяне на парола (това е подобно на офлайн атака с речник).

Тази уязвимост се проследява с помощта на CVE-2019-9494.

Защитата се състои в замяна на условни разклонения, които зависят от секретни стойности, с помощни програми за избор на постоянно време. Реализациите също трябва да използват изчисление Символът на Лежандър с постоянно време.

Атака по страничен канал, базирана на синхронизация

Когато ръкостискането на Dragonfly използва определени мултипликативни групи, алгоритъмът за кодиране на паролата използва променлив брой итерации, за да кодира паролата. Точният брой повторения зависи от използваната парола и MAC адреса на точката за достъп и клиента. Нападателят може да извърши отдалечена тайминг атака на алгоритъма за кодиране на паролата, за да определи колко итерации са били необходими за кодирането на паролата. Възстановената информация може да се използва за извършване на атака с парола, която е подобна на офлайн атака с речник.

За да се предотврати атака за определяне на времето, реализациите трябва да деактивират уязвимите мултипликативни групи. От техническа гледна точка MODP групи 22, 23 и 24 трябва да бъдат деактивирани. Също така се препоръчва да деактивирате MODP групи 1, 2 и 5.

Тази уязвимост също се проследява с помощта на CVE-2019-9494 поради сходството в изпълнението на атаката.

WPA3 понижаване

Тъй като 15-годишният протокол WPA2 се използва широко от милиарди устройства, широкото приемане на WPA3 няма да стане за една нощ. За да поддържат по-стари устройства, сертифицираните по WPA3 устройства предлагат „преходен режим на работа“, който може да бъде конфигуриран да приема връзки, използващи както WPA3-SAE, така и WPA2.

Изследователите вярват, че преходният режим е уязвим за атаки за понижаване, които нападателите могат да използват, за да създадат измамна точка за достъп, която поддържа само WPA2, принуждавайки устройства с активиран WPA3 да се свързват чрез несигурно WPA2 четирипосочно ръкостискане.

„Също така открихме атака за понижаване на самото ръкостискане SAE (едновременна автентификация на партньори, известно като Dragonfly), където можем да принудим устройството да използва по-слаба елиптична крива от нормалното“, казаха изследователите.

Освен това, позицията човек в средата не е необходима за извършване на атака с понижаване. Вместо това нападателите трябва да знаят само SSID на мрежата WPA3-SAE.

Изследователите докладваха своите констатации на Wi-Fi Alliance, организация с нестопанска цел, която сертифицира WiFi стандартите и Wi-Fi продуктите за съответствие, която признава проблемите и работи с доставчици за коригиране на съществуващи WPA3-сертифицирани устройства.

PoC (404 към момента на публикуване)

Като доказателство за концепцията, изследователите скоро ще пуснат следните четири отделни инструмента (в хранилищата на GitHub с хипервръзка по-долу), които могат да се използват за тестване на уязвимости.

Dragondrain е инструмент, който може да тества до каква степен дадена точка за достъп е уязвима на Dos атаки при ръкостискане на WPA3 Dragonfly.
Dragontime - Експериментален инструмент за извършване на времеви атаки срещу ръкостискане на Dragonfly.
Драконовска сила е експериментален инструмент, който получава информация за възстановяване от времеви атаки и извършва атака с парола.
Убиец на дракони - инструмент, който извършва атаки срещу EAP-pwd.

Dragonblood: Анализ на сигурността на SAE ръкостискане на WPA3
Уебсайт на проекта - wpa3.mathyvanhoef.com

Източник: www.habr.com