Mathy Vanhoef, autor útoku KRACK na bezdrátové sítě s WPA2, a Eyal Ronen, spoluautor některých útoků na TLS, zveřejnili informace o šesti zranitelnostech (CVE-2019-9494 - CVE-2019-9499) v technologii ochrana bezdrátových sítí WPA3, která vám umožní znovu vytvořit heslo připojení a získat přístup k bezdrátové síti bez znalosti hesla. Zranitelnosti jsou souhrnně označeny jako Dragonblood a umožňují kompromitovat metodu vyjednávání připojení Dragonfly, která poskytuje ochranu proti uhodnutí hesla offline. Kromě WPA3 se metoda Dragonfly používá také k ochraně před slovníkovým hádáním v protokolu EAP-pwd používaném v systémech Android, serverech RADIUS a hostapd/wpa_supplicant.
Studie identifikovala dva hlavní typy architektonických problémů v WPA3. Oba typy problémů lze nakonec použít k rekonstrukci přístupového hesla. První typ vám umožňuje vrátit se zpět k nespolehlivým kryptografickým metodám (downgrade attack): nástroje pro zajištění kompatibility s WPA2 (tranzitní režim umožňující použití WPA2 a WPA3) umožňují útočníkovi přinutit klienta provést čtyřfázové vyjednávání spojení používá WPA2, což umožňuje další použití klasických hesel brute-force útoků použitelných pro WPA2. Navíc byla identifikována možnost provést downgrade útok přímo na metodu porovnávání spojení Dragonfly, což umožňuje vrátit se zpět k méně bezpečným typům eliptických křivek.
Druhý typ problému vede k úniku informací o vlastnostech hesla prostřednictvím kanálů třetích stran a je založen na nedostatcích v metodě kódování hesel v Dragonfly, které umožňují nepřímým datům, jako jsou změny ve zpoždění během operací, znovu vytvořit původní heslo. . Algoritmus hash-to-curve společnosti Dragonfly je náchylný k útokům z mezipaměti a její algoritmus hash-to-group je náchylný k útokům v době provádění (timeing attack).
K provádění útoků dolování mezipaměti musí být útočník schopen spustit neprivilegovaný kód v systému uživatele, který se připojuje k bezdrátové síti. Oba způsoby umožňují získat informace potřebné k objasnění správného výběru částí hesla při procesu výběru hesla. Efektivita útoku je poměrně vysoká a umožňuje vám uhodnout 8znakové heslo, které obsahuje malá písmena, zachytí pouze 40 handshake relací a utrácí prostředky ekvivalentní pronájmu kapacity Amazon EC2 za 125 USD.
Na základě zjištěných zranitelností bylo navrženo několik scénářů útoku:
- Rollback útok na WPA2 se schopností provádět výběr slovníku. V prostředích, kde klient a přístupový bod podporují WPA3 i WPA2, by útočník mohl nasadit svůj vlastní podvodný přístupový bod se stejným názvem sítě, který podporuje pouze WPA2. V takové situaci klient použije metodu vyjednávání o připojení charakteristickou pro WPA2, během níž se zjistí, že takové vrácení zpět je nepřípustné, ale to bude provedeno ve fázi, kdy jsou odeslány zprávy o vyjednávání kanálu a všechny potřebné informace. neboť již unikl slovníkový útok. Podobnou metodu lze použít k vrácení problematických verzí eliptických křivek v SAE.
Kromě toho bylo zjištěno, že démon iwd, vyvinutý společností Intel jako alternativa k wpa_supplicant, a bezdrátový stack Samsung Galaxy S10 jsou náchylné k útokům downgrade i v sítích, které používají pouze WPA3 – pokud byla tato zařízení dříve připojena k síti WPA3. , pokusí se připojit k fiktivní síti WPA2 se stejným názvem.
- Útok postranním kanálem, který extrahuje informace z mezipaměti procesoru. Algoritmus kódování hesla v Dragonfly obsahuje podmíněné větvení a útočník, který má schopnost spustit kód v systému bezdrátového uživatele, může na základě analýzy chování mezipaměti určit, který z bloků výrazu if-then-else je vybrán. Získané informace lze použít k postupnému hádání hesel pomocí metod podobných offline slovníkovým útokům na hesla WPA2. Pro ochranu se navrhuje přejít na používání operací s konstantní dobou provádění nezávisle na povaze zpracovávaných dat;
- Útok postranním kanálem s odhadem doby provedení operace. Kód Dragonfly používá více multiplikativních skupin (MODP) pro kódování hesel a proměnlivý počet iterací, jejichž počet závisí na použitém heslu a MAC adrese přístupového bodu nebo klienta. Vzdálený útočník může určit, kolik iterací bylo provedeno během kódování hesla, a použít je jako indikaci pro postupné hádání hesla.
- Odmítnutí servisního hovoru. Útočník může zablokovat činnost určitých funkcí přístupového bodu z důvodu vyčerpání dostupných zdrojů odesláním velkého počtu požadavků na vyjednávání komunikačního kanálu. K obejití protipovodňové ochrany poskytované WPA3 stačí zasílat požadavky z fiktivních, neopakujících se MAC adres.
- Návrat k méně bezpečným kryptografickým skupinám používaným v procesu vyjednávání připojení WPA3. Pokud například klient podporuje eliptické křivky P-521 a P-256 a používá P-521 jako prioritní možnost, pak útočník, bez ohledu na podporu
P-521 na straně přístupového bodu může přinutit klienta používat P-256. Útok se provádí odfiltrováním některých zpráv během procesu sjednávání spojení a odesláním falešných zpráv s informací o chybějící podpoře určitých typů eliptických křivek.
Pro kontrolu zranitelnosti zařízení bylo připraveno několik skriptů s příklady útoků:
- Dragonslayer - implementace útoků na EAP-pwd;
- Dragondrain je nástroj pro kontrolu zranitelnosti přístupových bodů z hlediska zranitelnosti při implementaci metody vyjednávání připojení SAE (Simultaneous Authentication of Equals), kterou lze použít k zahájení odmítnutí služby;
- Dragontime - skript pro provádění útoku postranním kanálem proti SAE, který bere v úvahu rozdíl v době zpracování operací při použití skupin MODP 22, 23 a 24;
- Dragonforce je utilita pro obnovu informací (hádání hesla) na základě informací o různých dobách zpracování operací nebo určení uchování dat v mezipaměti.
Wi-Fi Alliance, která vyvíjí standardy pro bezdrátové sítě, oznámila, že problém se týká omezeného počtu raných implementací WPA3-Personal a lze jej opravit prostřednictvím aktualizace firmwaru a softwaru. Nebyly zaznamenány žádné případy použití zranitelnosti k provádění škodlivých akcí. Pro posílení bezpečnosti přidala Wi-Fi Alliance do programu certifikace bezdrátových zařízení další testy k ověření správnosti implementací a také oslovila výrobce zařízení, aby společně koordinovali opravy zjištěných problémů. Opravy již byly vydány pro hostap/wpa_supplicant. Pro Ubuntu jsou k dispozici aktualizace balíčků. Debian, RHEL, SUSE/openSUSE, Arch, Fedora a FreeBSD mají stále neopravené problémy.
Zdroj: opennet.ru