Mathy Vanhoef, autor útoku KRACK na bezdrátové sítě, zveřejnil informace o 12 zranitelnostech ovlivňujících různá bezdrátová zařízení. Identifikované problémy jsou prezentovány pod kódovým označením FragAttacks a pokrývají téměř všechny používané bezdrátové karty a přístupové body – ze 75 testovaných zařízení bylo každé náchylné k alespoň jedné z navrhovaných metod útoku.
Problémy jsou rozděleny do dvou kategorií: 3 zranitelnosti byly identifikovány přímo ve standardech Wi-Fi a pokrývají všechna zařízení, která podporují současné standardy IEEE 802.11 (problémy jsou vysledovány od roku 1997). 9 zranitelností se týká chyb a nedostatků v konkrétních implementacích bezdrátových stohů. Hlavní nebezpečí představuje druhá kategorie, protože organizování útoků na nedostatky v normách vyžaduje přítomnost specifických nastavení nebo provádění určitých akcí obětí. Všechny chyby zabezpečení se vyskytují bez ohledu na protokoly používané k zajištění zabezpečení Wi-Fi, včetně použití WPA3.
Většina identifikovaných metod útoku umožňuje útočníkovi nahradit L2 rámce v chráněné síti, což umožňuje vklínit se do provozu oběti. Nejrealističtější scénář útoku je falšování odpovědí DNS za účelem nasměrování uživatele na hostitele útočníka. Je také uveden příklad použití zranitelnosti k obejití překladače adres na bezdrátovém směrovači a organizování přímého přístupu k zařízení v místní síti nebo ignorování omezení brány firewall. Druhá část zranitelností, která souvisí se zpracováním fragmentovaných rámců, umožňuje extrahovat data o provozu v bezdrátové síti a zachytit uživatelská data přenášená bez šifrování.
Výzkumník připravil ukázku, která ukazuje, jak lze zranitelnosti využít k zachycení hesla přenášeného při přístupu na web přes HTTP bez šifrování. Ukazuje také, jak zaútočit na chytrou zásuvku ovládanou přes Wi-Fi a použít ji jako odrazový můstek pro pokračování útoku na neaktualizovaných zařízeních v lokální síti, která mají neopravená zranitelnost (např. bylo možné napadnout neaktualizovaný počítač s Windows 7 ve vnitřní síti přes NAT traversal).
Aby mohl útočník využít zranitelnosti, musí být v dosahu cílového bezdrátového zařízení, aby oběti poslal speciálně vytvořenou sadu rámců. Problémy se týkají jak klientských zařízení a bezdrátových karet, tak přístupových bodů a Wi-Fi routerů. Obecně je jako řešení dostatečné použití HTTPS v kombinaci se šifrováním provozu DNS pomocí DNS přes TLS nebo DNS přes HTTPS. Použití VPN je také vhodné pro ochranu.
Nejnebezpečnější jsou čtyři zranitelnosti v implementaci bezdrátových zařízení, které umožňují triviálními metodami dosáhnout náhrady jejich nešifrovaných rámců:
- Chyby zabezpečení CVE-2020-26140 a CVE-2020-26143 umožňují náhradu rámců na některých přístupových bodech a bezdrátových kartách v systémech Linux, Windows a FreeBSD.
- Chyba zabezpečení VE-2020-26145 umožňuje zpracování nešifrovaných fragmentů vysílání jako plných snímků v systémech macOS, iOS a FreeBSD a NetBSD.
- Chyba zabezpečení CVE-2020-26144 umožňuje zpracování nešifrovaných znovu sestavených rámů A-MSDU pomocí EtherType EAPOL v Huawei Y6, Nexus 5X, FreeBSD a LANCOM AP.
Další zranitelnosti v implementacích souvisejí hlavně s problémy, ke kterým dochází při zpracování fragmentovaných rámců:
- CVE-2020-26139: Umožňuje přesměrování rámců s příznakem EAPOL odeslaných neověřeným odesílatelem (ovlivňuje 2/4 důvěryhodných přístupových bodů, stejně jako řešení založená na NetBSD a FreeBSD).
- CVE-2020-26146: umožňuje opětovné sestavení zašifrovaných fragmentů bez kontroly pořadí pořadových čísel.
- CVE-2020-26147: Umožňuje opětovné sestavení smíšených šifrovaných a nešifrovaných fragmentů.
- CVE-2020-26142: Umožňuje zpracování fragmentovaných rámců jako plných rámců (ovlivňuje OpenBSD a bezdrátový modul ESP12-F).
- CVE-2020-26141: Chybí kontrola TKIP MIC pro fragmentované rámce.
Problémy se specifikací:
- CVE-2020-24588 - útok na agregované rámce (příznak „je agregován“ není chráněn a může být nahrazen útočníkem v rámcích A-MSDU ve WPA, WPA2, WPA3 a WEP). Příkladem použitého útoku je přesměrování uživatele na škodlivý server DNS nebo procházení NAT.
- CVE-2020-245870 je útok na míchání klíčů (umožňující opětovné sestavení fragmentů zašifrovaných pomocí různých klíčů ve WPA, WPA2, WPA3 a WEP). Útok umožňuje určit data odesílaná klientem, například určit obsah cookie při přístupu přes HTTP.
- CVE-2020-24586 je útok na mezipaměť fragmentů (standardy pokrývající WPA, WPA2, WPA3 a WEP nevyžadují odstranění fragmentů již uložených v mezipaměti po novém připojení k síti). Umožňuje určit data odeslaná klientem a nahradit vaše data.
Pro otestování míry náchylnosti vašich zařízení k problémům byla připravena speciální sada nástrojů a hotový Live image pro vytvoření bootovatelného USB disku. V Linuxu se objevují problémy v bezdrátové síti mac80211, jednotlivých bezdrátových ovladačích a firmwaru nahraném na bezdrátových kartách. K odstranění těchto zranitelností byla navržena sada oprav, které pokrývají zásobník mac80211 a ovladače ath10k/ath11k. Některá zařízení, například bezdrátové karty Intel, vyžadují další aktualizaci firmwaru.
Testy typických zařízení:
Testy bezdrátových karet v Linuxu a Windows:
Testy bezdrátových karet ve FreeBSD a NetBSD:
Výrobci byli na problémy upozorněni před 9 měsíci. Takto dlouhé období embarga je vysvětlováno koordinovanou přípravou aktualizací a zpožděními v přípravě změn specifikací organizacemi ICASI a Wi-Fi Alliance. Původně se plánovalo zveřejnit informace 9. března, ale po srovnání rizik bylo rozhodnuto odložit zveřejnění o další dva měsíce, aby bylo více času na přípravu záplat, s ohledem na netriviální povahu změn. a problémy vzniklé v důsledku pandemie COVID-19.
Je pozoruhodné, že navzdory embargu Microsoft opravil některé zranitelnosti s předstihem v březnové aktualizaci Windows. Zveřejnění informací bylo odloženo týden před původně plánovaným datem a Microsoft neměl čas nebo nechtěl provést změny v plánované aktualizaci připravené k publikaci, což představovalo hrozbu pro uživatele jiných systémů, protože útočníci mohli získat informace o zranitelnosti prostřednictvím zpětného inženýrství obsahu aktualizací.
Zdroj: opennet.ru