FragAttacks - поредица от уязвимости в Wi-Fi стандартите и имплементациите

Mathy Vanhoef, авторът на атаката KRACK срещу безжични мрежи, разкри информация за 12 уязвимости, засягащи различни безжични устройства. Идентифицираните проблеми са представени под кодовото име FragAttacks и обхващат почти всички използвани безжични карти и точки за достъп – от 75-те тествани устройства всяко е податливо на поне един от предложените методи за атака.

Проблемите са разделени в две категории: 3 уязвимости са идентифицирани директно в Wi-Fi стандартите и покриват всички устройства, които поддържат текущите стандарти IEEE 802.11 (проблемите са проследени от 1997 г.). 9 уязвимости се отнасят до грешки и недостатъци в конкретни реализации на безжични стекове. Основната опасност представлява втората категория, тъй като организирането на атаки срещу недостатъци в стандартите изисква наличието на специфични настройки или извършването на определени действия от жертвата. Всички уязвимости възникват независимо от протоколите, използвани за осигуряване на сигурността на Wi-Fi, включително при използване на WPA3.

Повечето от идентифицираните методи за атака позволяват на атакуващия да замени L2 рамки в защитена мрежа, което прави възможно проникването в трафика на жертвата. Най-реалистичният сценарий на атака е подправяне на DNS отговори, за да насочи потребителя към хоста на атакуващия. Даден е също пример за използване на уязвимости за заобикаляне на транслатора на адреси на безжичен рутер и организиране на директен достъп до устройство в локална мрежа или игнориране на ограниченията на защитната стена. Втората част от уязвимостите, която е свързана с обработката на фрагментирани рамки, прави възможно извличането на данни за трафика в безжична мрежа и прихващането на потребителски данни, предавани без криптиране.

Изследователят е подготвил демонстрация, показваща как уязвимостите могат да бъдат използвани за прихващане на парола, предадена при достъп до сайт чрез HTTP без криптиране.Тя също така показва как да атакувате интелигентен контакт, управляван чрез Wi-Fi, и да го използвате като трамплин за продължаване на атаката на неактуализирани устройства в локална мрежа, които имат некоригирани уязвимости (например беше възможно да се атакува неактуализиран компютър с Windows 7 във вътрешната мрежа чрез NAT преминаване).

За да се възползва от уязвимостите, нападателят трябва да е в обхвата на целевото безжично устройство, за да изпрати специално създаден набор от кадри на жертвата. Проблемите засягат както клиентските устройства и безжичните карти, така и точките за достъп и Wi-Fi рутерите. По принцип използването на HTTPS в комбинация с шифроване на DNS трафик чрез DNS през TLS или DNS през HTTPS е достатъчно като заобиколно решение. Използването на VPN също е подходящо за защита.

Най-опасни са четири уязвимости в внедряването на безжични устройства, които позволяват тривиални методи за постигане на замяна на техните некриптирани рамки:

• Уязвимости CVE-2020-26140 и CVE-2020-26143 позволяват пълнене на кадри на някои точки за достъп и безжични карти на Linux, Windows и FreeBSD.
• Уязвимостта VE-2020-26145 позволява излъчени некриптирани фрагменти да бъдат обработвани като пълни кадри на macOS, iOS и FreeBSD и NetBSD.
• Уязвимост CVE-2020-26144 позволява обработката на некриптирани повторно сглобени A-MSDU рамки с EtherType EAPOL в Huawei Y6, Nexus 5X, FreeBSD и LANCOM AP.

Други уязвимости в реализациите са свързани главно с проблеми, срещани при обработката на фрагментирани рамки:

• CVE-2020-26139: Позволява пренасочване на рамки с флага EAPOL, изпратени от неупълномощен подател (засяга 2/4 доверени точки за достъп, както и решения, базирани на NetBSD и FreeBSD).
• CVE-2020-26146: позволява повторно сглобяване на криптирани фрагменти без проверка на реда на поредния номер.
• CVE-2020-26147: Позволява повторно сглобяване на смесени криптирани и некриптирани фрагменти.
• CVE-2020-26142: Позволява фрагментирани кадри да се третират като пълни кадри (засяга OpenBSD и безжичния модул ESP12-F).
• CVE-2020-26141: TKIP MIC проверка липсва за фрагментирани кадри.

Проблеми със спецификацията:

• CVE-2020-24588 - атака срещу агрегирани рамки (флагът „е агрегиран“ не е защитен и може да бъде заменен от атакуващ в A-MSDU рамки в WPA, WPA2, WPA3 и WEP). Пример за използвана атака е пренасочване на потребител към злонамерен DNS сървър или NAT преминаване.
• CVE-2020-245870 е атака със смесване на ключове (позволяваща повторно сглобяване на фрагменти, криптирани с помощта на различни ключове в WPA, WPA2, WPA3 и WEP). Атаката ви позволява да определите данните, изпратени от клиента, например да определите съдържанието на бисквитката при достъп чрез HTTP.
• CVE-2020-24586 е атака срещу кеша на фрагментите (стандартите, покриващи WPA, WPA2, WPA3 и WEP, не изискват премахването на фрагменти, които вече са поставени в кеша след нова връзка с мрежата). Позволява ви да определите данните, изпратени от клиента, и да замените вашите данни.

За да тествате степента на чувствителност на вашите устройства към проблеми, са подготвени специален инструментариум и готово изображение на живо за създаване на стартиращо USB устройство. В Linux проблемите се появяват в безжичната мрежа mac80211, отделните безжични драйвери и фърмуера, зареден на безжичните карти. За да се елиминират уязвимостите, беше предложен набор от корекции, които покриват стека mac80211 и драйверите ath10k/ath11k. Някои устройства, като например безжичните карти на Intel, изискват допълнителна актуализация на фърмуера.

Тестове на типични устройства:

Тестове на безжични карти в Linux и Windows:

Тестове на безжични карти във FreeBSD и NetBSD:

Производителите са уведомени за проблемите преди 9 месеца. Такъв дълъг период на ембарго се обяснява с координираната подготовка на актуализации и забавяния в подготовката на промени в спецификациите от организациите ICASI и Wi-Fi Alliance. Първоначално беше планирано информацията да бъде разкрита на 9 март, но след сравняване на рисковете беше решено да се отложи публикуването с още два месеца, за да се даде повече време за подготовка на корекции, като се вземе предвид нетривиалният характер на промените и трудностите, възникващи поради пандемията от COVID-19.

Трябва да се отбележи, че въпреки ембаргото Microsoft поправи някои уязвимости предсрочно в мартенската актуализация на Windows. Разкриването на информация беше отложено седмица преди първоначално планираната дата и Microsoft нямаше време или не искаше да направи промени в планираната актуализация, готова за публикуване, което създаде заплаха за потребителите на други системи, тъй като нападателите можеха да получат информация за уязвимости чрез обратно инженерство на съдържанието на актуализациите.

Източник: opennet.ru