Mathy Vanhoef, autor KRACK napada na WPA2 bežične mreže, i Eyal Ronen, koautor nekoliko napada na TLS, otkrili su šest ranjivosti (CVE-2019-9494 - CVE-2019-9499) u tehnološkoj zaštiti WPA3 bežičnih mreža , što vam omogućava da ponovo kreirate lozinku za povezivanje i dobijete pristup bežičnoj mreži bez poznavanja lozinke. Ranjivosti su grupisane pod kodnim imenom Dragonblood i dozvoljavaju kompromitovanje Dragonfly metode pregovaranja o vezi, koja pruža zaštitu od offline pogađanja lozinke. Pored WPA3, Dragonfly metoda se također koristi za zaštitu od nagađanja rječnika u EAP-pwd protokolu koji koriste Android, RADIUS serveri i hostapd/wpa_supplicant.
Studija je identifikovala dva glavna tipa arhitektonskih problema u WPA3. Obje vrste problema mogu se eventualno koristiti za ponovno kreiranje pristupne lozinke. Prvi tip vam omogućava da se vratite na nepouzdane kriptografske metode (napad na downgrade): znači da se osigura kompatibilnost sa WPA2 (prolazni način koji dozvoljava korištenje WPA2 i WPA3) omogućava napadaču da prisili klijenta da izvrši četverosmjerno pregovaranje o povezivanju koje se koristi od strane WPA2, koji omogućava dalju upotrebu klasičnih lozinki za napade grubom silom primjenjivih na WPA2. Osim toga, otkrivena je mogućnost izvođenja napada na downgrade direktno na metodu podudaranja veze Dragonfly, što vam omogućava da se vratite na manje sigurne tipove eliptičkih krivulja.
Druga vrsta problema dovodi do curenja informacija o karakteristikama lozinke kroz kanale trećih strana i zasniva se na nedostacima u metodi kodiranja lozinke u Dragonfly-u, koji omogućava ponovno kreiranje indirektnih podataka, kao što su promjene u kašnjenjima tokom operacija. originalnu lozinku. Dragonfly-jev algoritam hash to eliptic curve (hash-to-curve) podložan je napadima praćenjem informacija koje se talože u kešu procesora (napad keša), a algoritam hash-to-group je podložan napadima kroz operacije mjerenja vremena izvršenja (napad na vrijeme ).
Da bi izvršio napade raščlanjivanjem keša, napadač mora biti u mogućnosti da izvrši neprivilegirani kod na sistemu korisnika koji se povezuje na bežičnu mrežu. Obje metode omogućavaju dobivanje informacija potrebnih za pojašnjenje ispravnosti izbora dijelova lozinke u procesu njenog odabira. Efikasnost napada je prilično visoka i omogućava vam da pogodite lozinku od 8 znakova koja uključuje mala slova, presretanje samo 40 sesija pregovaranja veze (rukovanje) i trošenje resursa ekvivalentno iznajmljivanju Amazon EC2 kapaciteta za 125 dolara.
Na osnovu identifikovanih ranjivosti, predloženo je nekoliko scenarija napada:
- Rollback napad na WPA2 s mogućnošću odabira rječnika. U okolnostima u kojima klijent i pristupna tačka podržavaju i WPA3 i WPA2, napadač može postaviti sopstvenu lažnu pristupnu tačku sa istim imenom mreže koje podržava samo WPA2. U takvoj situaciji, klijent će koristiti metodu pregovaranja konekcije specifičnu za WPA2, tokom koje će se utvrditi neprihvatljivost takvog vraćanja, ali će to biti učinjeno u fazi kada su poslane poruke o pregovaranju kanala i sve potrebne informacije. jer je napad na rječnik već procurio. Slična tehnika se može koristiti za vraćanje na problematične verzije eliptičkih krivulja u SAE.
Osim toga, otkriveno je da su demon iwd, koji je razvio Intel kao alternativu wpa_supplicant, i bežični stek Samsung Galaxy S10 napadnuti na nižu verziju čak i na mrežama samo za WPA3 – ako su ovi uređaji prethodno bili povezani na WPA3 mrežu, oni će pokušati da se poveže na lažnu WPA2 mrežu istog imena.
- Napad kroz kanale trećih strana uz ekstrakciju informacija iz keša procesora. Algoritam za kodiranje lozinke u Dragonfly-u sadrži uslovno grananje, a napadač, budući da je u mogućnosti da izvrši kod u sistemu korisnika bežične mreže, može odrediti koji je od blokova izraza if-then-else odabran na osnovu analize ponašanja keša. . Dobivene informacije mogu se koristiti za progresivno pogađanje lozinke koristeći metode slične offline napadima rječnika za pogađanje WPA2 lozinki. Radi zaštite predlaže se prelazak na korištenje operacija sa konstantnim vremenom izvršenja koje ne ovisi o prirodi podataka koji se obrađuju;
- Napad kroz kanale trećih strana s procjenom vremena operacija. Dragonfly kod koristi višestruke multiplikativne grupe (MODP) i promjenjiv broj iteracija za kodiranje lozinki, ovisno o korištenoj lozinki i MAC adresi pristupne točke ili klijenta. Udaljeni napadač može odrediti koliko je iteracija izvršeno tokom kodiranja lozinke i koristiti ih kao trag u progresivnom pogađanju lozinke.
- Odbijanje usluge poziva. Napadač može blokirati rad određenih funkcija pristupne tačke zbog iscrpljenosti raspoloživih resursa slanjem velikog broja zahtjeva za pregovaranje o komunikacijskom kanalu. Da biste zaobišli zaštitu od poplava predviđenu u WPA3, dovoljno je poslati zahtjeve sa fiktivnih neponavljajućih MAC adresa.
- Povratak na manje sigurne kriptografske grupe koje se koriste u procesu pregovaranja o WPA3 vezi. Na primjer, ako klijent podržava eliptičke krivulje P-521 i P-256 i koristi P-521 kao prioritetnu opciju, tada napadač, bez obzira na podršku
P-521 na strani pristupne tačke, može natjerati klijenta da koristi P-256. Napad se izvodi filtriranjem nekih poruka tokom procesa pregovaranja o povezivanju i slanjem lažnih poruka sa informacijama o nedostatku podrške za određene vrste eliptičkih krivulja.
Za provjeru ranjivosti uređaja pripremljeno je nekoliko skripti s primjerima napada:
- Dragonslayer - implementacija napada na EAP-pwd;
- Dragondrain je uslužni program za provjeru ranjivosti pristupnih tačaka u implementaciji metode pregovaranja veza sa Simultaneous Authentication of Equals (SAE), koja se može koristiti za iniciranje uskraćivanja usluge;
- Dragontime - skripta za izvođenje napada treće strane na SAE, uzimajući u obzir razliku u vremenu obrade operacija kada se koriste grupe MODP 22, 23 i 24;
- Dragonforce je uslužni program za obnavljanje informacija (nagađanje lozinke) na osnovu informacija o različitim vremenima obrade za operacije ili utvrđivanju smještanja podataka u keš memoriju.
Wi-Fi Alijansa, koja razvija standarde za bežične mreže, objavila je da problem utiče na ograničen broj ranih implementacija WPA3-Personal i da se može popraviti ažuriranjem firmvera i softvera. Činjenice o korištenju ranjivosti za izvođenje zlonamjernih radnji još nisu zabilježene. Kako bi poboljšala sigurnost, Wi-Fi Alliance je dodala dodatne testove u program sertifikacije bežičnih uređaja kako bi provjerila ispravne implementacije i kontaktirala proizvođače uređaja kako bi zajednički koordinirali rješavanje identificiranih problema. Ispravke grešaka su već objavljene za hostap/wpa_supplicant. Ažuriranja paketa su dostupna za Ubuntu. Na Debianu, RHEL-u, SUSE/openSUSE, Arch, Fedori i FreeBSD-u, problemi su još uvijek neriješeni.
izvor: opennet.ru