Mathy Vanhoef, forfatteren af KRACK-angrebet på trådløse netværk med WPA2, og Eyal Ronen, medforfatteren til nogle angreb på TLS, afslørede oplysninger om seks sårbarheder (CVE-2019-9494 - CVE-2019-9499) i teknologien beskyttelse af WPA3 trådløse netværk, så du kan genskabe forbindelsesadgangskoden og få adgang til det trådløse netværk uden at kende adgangskoden. Sårbarhederne er samlet kodenavnet Dragonblood og gør det muligt at kompromittere Dragonfly-forbindelsesforhandlingsmetoden, som giver beskyttelse mod offline-gætning af adgangskoder. Udover WPA3 bruges Dragonfly-metoden også til at beskytte mod ordbogsgætning i EAP-pwd-protokollen, der bruges i Android, RADIUS-servere og hostapd/wpa_supplicant.
Undersøgelsen identificerede to hovedtyper af arkitektoniske problemer i WPA3. Begge typer problemer kan i sidste ende bruges til at rekonstruere adgangskoden. Den første type giver dig mulighed for at rulle tilbage til upålidelige kryptografiske metoder (nedgraderingsangreb): værktøjer til at sikre kompatibilitet med WPA2 (transittilstand, der tillader brugen af WPA2 og WPA3) gør det muligt for angriberen at tvinge klienten til at udføre fire-trins forbindelsesforhandlingen bruges af WPA2, som tillader yderligere brug af klassiske brute-force-angrebsadgangskoder, der gælder for WPA2. Derudover er muligheden for at udføre et nedgraderingsangreb direkte på Dragonfly-forbindelsesmatchningsmetoden blevet identificeret, hvilket gør det muligt at rulle tilbage til mindre sikre typer elliptiske kurver.
Den anden type problem fører til lækage af oplysninger om adgangskodekarakteristika gennem tredjepartskanaler og er baseret på fejl i kodeordskodningsmetoden i Dragonfly, som tillader indirekte data, såsom ændringer i forsinkelser under operationer, at genskabe den originale adgangskode . Dragonflys hash-til-kurve-algoritme er modtagelig for cache-angreb, og dens hash-til-gruppe-algoritme er modtagelig over for eksekveringstidsangreb.-operationer (timing-angreb).
For at udføre cache-mining-angreb skal angriberen være i stand til at udføre uprivilegeret kode på systemet for brugeren, der forbinder til det trådløse netværk. Begge metoder gør det muligt at få de oplysninger, der er nødvendige for at afklare det korrekte valg af dele af adgangskoden under adgangskodevalgsprocessen. Effektiviteten af angrebet er ret høj og giver dig mulighed for at gætte en adgangskode på 8 tegn, der inkluderer små bogstaver, opsnapper kun 40 håndtrykssessioner og bruger ressourcer svarende til at leje Amazon EC2-kapacitet for $125.
Baseret på de identificerede sårbarheder er flere angrebsscenarier blevet foreslået:
- Rollback-angreb på WPA2 med evnen til at udføre ordbogsvalg. I miljøer, hvor klienten og adgangspunktet understøtter både WPA3 og WPA2, kunne en hacker implementere deres eget useriøse adgangspunkt med det samme netværksnavn, som kun understøtter WPA2. I en sådan situation vil klienten bruge forbindelsesforhandlingsmetoden, der er karakteristisk for WPA2, hvor det vil blive fastslået, at en sådan tilbagerulning ikke er tilladt, men dette vil ske på det tidspunkt, hvor kanalforhandlingsmeddelelser er blevet sendt og alle nødvendige oplysninger for et ordbogsangreb er allerede lækket. En lignende metode kan bruges til at rulle problematiske versioner af elliptiske kurver tilbage i SAE.
Derudover blev det opdaget, at iwd-dæmonen, udviklet af Intel som et alternativ til wpa_supplicant, og Samsung Galaxy S10 trådløse stak er modtagelige for nedgraderingsangreb selv i netværk, der kun bruger WPA3 - hvis disse enheder tidligere var forbundet til et WPA3-netværk , vil de forsøge at oprette forbindelse til et dummy WPA2-netværk med samme navn.
- Sidekanalangreb, der udtrækker information fra processorcachen. Kodeordskodningsalgoritmen i Dragonfly indeholder betinget forgrening, og en angriber, der har evnen til at udføre koden på en trådløs brugers system, kan, baseret på en analyse af cache-adfærd, bestemme, hvilken af if-then-else-udtryksblokkene, der er valgt. De opnåede oplysninger kan bruges til at udføre progressiv password-gætning ved hjælp af metoder, der ligner offline-ordbogsangreb på WPA2-adgangskoder. Til beskyttelse foreslås det at gå over til at bruge operationer med konstant eksekveringstid, uafhængigt af arten af de data, der behandles;
- Sidekanalangreb med estimering af operations udførelsestid. Dragonflys kode bruger multiple multiplicative groups (MODP) til at kode adgangskoder og et variabelt antal iterationer, hvis antal afhænger af den anvendte adgangskode og MAC-adressen på adgangspunktet eller klienten. En fjernangriber kan bestemme, hvor mange gentagelser der blev udført under kodeordskodning, og bruge dem som en indikation for progressiv adgangskodegætning.
- Denial of service-opkald. En angriber kan blokere driften af visse funktioner i adgangspunktet på grund af udtømning af tilgængelige ressourcer ved at sende et stort antal forhandlingsanmodninger om kommunikationskanaler. For at omgå oversvømmelsesbeskyttelsen fra WPA3 er det nok at sende anmodninger fra fiktive, ikke-gentagende MAC-adresser.
- Fallback til mindre sikre kryptografiske grupper, der bruges i WPA3-forbindelsesforhandlingsprocessen. For eksempel, hvis en klient understøtter elliptiske kurver P-521 og P-256 og bruger P-521 som den prioriterede mulighed, så vil angriberen, uanset support
P-521 på adgangspunktets side kan tvinge klienten til at bruge P-256. Angrebet udføres ved at filtrere nogle beskeder fra under forbindelsesforhandlingsprocessen og sende falske beskeder med information om manglende understøttelse af visse typer elliptiske kurver.
For at tjekke enheder for sårbarheder er der udarbejdet flere scripts med eksempler på angreb:
- Dragonslayer - implementering af angreb på EAP-pwd;
- Dragondrain er et værktøj til at kontrollere sårbarheden af adgangspunkter for sårbarheder i implementeringen af SAE (Simultaneous Authentication of Equals) forbindelsesforhandlingsmetoden, som kan bruges til at starte et lammelsesangreb;
- Dragontime - et script til at udføre et sidekanalangreb mod SAE under hensyntagen til forskellen i behandlingstid for operationer ved brug af MODP-gruppe 22, 23 og 24;
- Dragonforce er et værktøj til at gendanne information (gætning med adgangskode) baseret på information om forskellige behandlingstider for operationer eller til at bestemme opbevaringen af data i cachen.
Wi-Fi Alliance, som udvikler standarder for trådløse netværk, meddelte, at problemet påvirker et begrænset antal tidlige implementeringer af WPA3-Personal og kan rettes gennem en firmware- og softwareopdatering. Der har ikke været dokumenterede tilfælde af sårbarheder, der er blevet brugt til at udføre ondsindede handlinger. For at styrke sikkerheden har Wi-Fi Alliance tilføjet yderligere test til certificeringsprogrammet for trådløse enheder for at verificere rigtigheden af implementeringer og har også kontaktet enhedsproducenter for i fællesskab at koordinere rettelser til identificerede problemer. Patches er allerede blevet frigivet til hostap/wpa_supplicant. Pakkeopdateringer er tilgængelige til Ubuntu. Debian, RHEL, SUSE/openSUSE, Arch, Fedora og FreeBSD har stadig problemer løst.
Kilde: opennet.ru