Mathy Vanhoef, l'autor de l'atac KRACK a xarxes sense fil amb WPA2, i Eyal Ronen, el coautor d'alguns atacs a TLS, van revelar informació sobre sis vulnerabilitats (CVE-2019-9494 - CVE-2019-9499) en la tecnologia. protecció de les xarxes sense fil WPA3, que us permet recrear la contrasenya de connexió i accedir a la xarxa sense fil sense saber-ne la contrasenya. Les vulnerabilitats s'anomenen col·lectivament Dragonblood i permeten que el mètode de negociació de connexió Dragonfly, que proporciona protecció contra endevinar contrasenyes fora de línia, es vegi compromès. A més de WPA3, el mètode Dragonfly també s'utilitza per protegir contra l'endevinació del diccionari en el protocol EAP-pwd utilitzat a Android, servidors RADIUS i hostapd/wpa_supplicant.
L'estudi va identificar dos tipus principals de problemes arquitectònics en WPA3. Ambdós tipus de problemes es poden utilitzar finalment per reconstruir la contrasenya d'accés. El primer tipus us permet tornar a mètodes criptogràfics poc fiables (atac de baixada de nivell): eines per garantir la compatibilitat amb WPA2 (mode de trànsit, que permet l'ús de WPA2 i WPA3) permeten a l'atacant obligar el client a realitzar la negociació de la connexió en quatre passos. utilitzat per WPA2, que permet un ús addicional de les contrasenyes clàssiques d'atac de força bruta aplicables a WPA2. A més, s'ha identificat la possibilitat de dur a terme un atac de degradació directament al mètode de concordança de connexió Dragonfly, que permet tornar a tipus de corbes el·líptiques menys segures.
El segon tipus de problema condueix a la filtració d'informació sobre les característiques de la contrasenya a través de canals de tercers i es basa en defectes en el mètode de codificació de contrasenyes a Dragonfly, que permeten que dades indirectes, com ara canvis en els retards durant les operacions, tornin a recrear la contrasenya original. . L'algoritme hash-to-curve de Dragonfly és susceptible a atacs de memòria cau, i el seu algorisme hash-to-group és susceptible a atacs de temps d'execució (atac de temporització).
Per realitzar atacs de mineria de memòria cau, l'atacant ha de ser capaç d'executar codi sense privilegis al sistema de l'usuari que es connecta a la xarxa sense fil. Ambdós mètodes permeten obtenir la informació necessària per aclarir l'elecció correcta de les parts de la contrasenya durant el procés de selecció de la contrasenya. L'efectivitat de l'atac és bastant alta i permet endevinar una contrasenya de 8 caràcters que inclou caràcters en minúscula, interceptant només 40 sessions d'encaix i gastar recursos equivalents a llogar la capacitat d'Amazon EC2 per 125 dòlars.
A partir de les vulnerabilitats identificades, s'han proposat diversos escenaris d'atac:
- Atac de retrocés a WPA2 amb la possibilitat de dur a terme la selecció de diccionari. En entorns en què el client i el punt d'accés admeten tant WPA3 com WPA2, un atacant podria desplegar el seu propi punt d'accés canalla amb el mateix nom de xarxa que només admet WPA2. En aquesta situació, el client utilitzarà el mètode de negociació de connexió característic de WPA2, durant el qual es determinarà que aquest rollback és inadmissible, però això es farà en l'etapa en què s'hagin enviat els missatges de negociació del canal i tota la informació necessària. perquè un atac de diccionari ja s'ha filtrat. Es pot utilitzar un mètode similar per revertir versions problemàtiques de corbes el·líptiques en SAE.
A més, es va descobrir que el dimoni iwd, desenvolupat per Intel com a alternativa a wpa_supplicant, i la pila sense fil Samsung Galaxy S10 són susceptibles a atacs de degradació fins i tot en xarxes que només utilitzen WPA3, si aquests dispositius estaven connectats prèviament a una xarxa WPA3. , intentaran connectar-se a una xarxa WPA2 simulada amb el mateix nom.
- Atac de canal lateral que extreu informació de la memòria cau del processador. L'algoritme de codificació de contrasenyes a Dragonfly conté ramificacions condicionals i un atacant, que té la capacitat d'executar el codi en el sistema d'un usuari sense fil, pot, basant-se en una anàlisi del comportament de la memòria cau, determinar quin dels blocs d'expressió if-then-else està seleccionat. La informació obtinguda es pot utilitzar per realitzar una endevinació progressiva de contrasenyes mitjançant mètodes similars als atacs de diccionari fora de línia a contrasenyes WPA2. Per a la protecció, es proposa passar a utilitzar operacions amb temps d'execució constant, independentment de la naturalesa de les dades que s'estan tractant;
- Atac de canal lateral amb estimació del temps d'execució de l'operació. El codi de Dragonfly utilitza múltiples grups multiplicatius (MODP) per codificar contrasenyes i un nombre variable d'iteracions, el nombre de les quals depèn de la contrasenya utilitzada i de l'adreça MAC del punt d'accés o client. Un atacant remot pot determinar quantes iteracions s'han realitzat durant la codificació de la contrasenya i utilitzar-les com a indicació per a l'endevinació progressiva de la contrasenya.
- Trucada de denegació de servei. Un atacant pot bloquejar el funcionament de determinades funcions del punt d'accés a causa de l'esgotament dels recursos disponibles enviant un gran nombre de peticions de negociació del canal de comunicació. Per evitar la protecció contra inundacions proporcionada per WPA3, n'hi ha prou amb enviar sol·licituds des d'adreces MAC fictícias que no es repeteixen.
- Tornada a grups criptogràfics menys segurs utilitzats en el procés de negociació de connexió WPA3. Per exemple, si un client admet corbes el·líptiques P-521 i P-256 i utilitza P-521 com a opció prioritària, l'atacant, independentment del suport.
El P-521 al costat del punt d'accés pot obligar el client a utilitzar el P-256. L'atac es realitza filtrant alguns missatges durant el procés de negociació de la connexió i enviant missatges falsos amb informació sobre la manca de suport per a determinats tipus de corbes el·líptiques.
Per comprovar si hi ha vulnerabilitats als dispositius, s'han preparat diversos scripts amb exemples d'atacs:
- Dragonslayer - implementació d'atacs a EAP-pwd;
- Dragondrain és una utilitat per comprovar la vulnerabilitat dels punts d'accés per detectar vulnerabilitats en la implementació del mètode de negociació de connexió SAE (Simultaneous Authentication of Equals), que es pot utilitzar per iniciar una denegació de servei;
- Dragontime: un script per dur a terme un atac de canal lateral contra SAE, tenint en compte la diferència en el temps de processament de les operacions quan s'utilitzen els grups MODP 22, 23 i 24;
- Dragonforce és una utilitat per recuperar informació (endevinar contrasenyes) basada en informació sobre diferents temps de processament de les operacions o determinar la retenció de dades a la memòria cau.
La Wi-Fi Alliance, que desenvolupa estàndards per a xarxes sense fil, va anunciar que el problema afecta un nombre limitat d'implementacions primerenques de WPA3-Personal i es pot solucionar mitjançant una actualització de microprogramari i programari. No hi ha hagut casos documentats d'ús de vulnerabilitats per dur a terme accions malicioses. Per reforçar la seguretat, l'Aliança Wi-Fi ha afegit proves addicionals al programa de certificació de dispositius sense fil per verificar la correcció de les implementacions i també s'ha posat en contacte amb els fabricants de dispositius per coordinar conjuntament les solucions dels problemes identificats. Ja s'han publicat pedaços per a hostap/wpa_supplicant. Les actualitzacions de paquets estan disponibles per a Ubuntu. Debian, RHEL, SUSE/openSUSE, Arch, Fedora i FreeBSD encara tenen problemes sense solucionar.
Font: opennet.ru