
Obwohl der neue Standard WPA3 noch nicht umfassend implementiert ist, ermöglichen Sicherheitsmängel in diesem Protokoll Angreifern, das Wi-Fi-Passwort zu knacken.
Das Wi-Fi Protected Access III (WPA3) Protokoll wurde eingeführt, um technische Schwächen des seit langem als unsicher geltenden WPA2-Protokolls zu beheben, das anfällig für KRACK-Angriffe (Key Reinstallation Attack) ist. Während WPA3 auf einem sichereren Handshake basiert, der als Dragonfly bekannt ist und Netzwerke gegen Offline-Wörterbuchangriffe schützt, entdeckten die Sicherheitsexperten Mathy Vanhoef und Eyal Ronen Schwachstellen in der frühen Implementierung von WPA3-Personal, die es einem Angreifer ermöglichen könnten, Wi-Fi-Passwörter durch Timing-Angriffe oder Seitenkanal-Caching zu rekonstruieren.
„Angreifer können Informationen lesen, von denen angenommen wird, dass sie WPA3 sicher verschlüsselt. Dies könnte genutzt werden, um vertrauliche Informationen wie Kreditkartennummern, Passwörter, Chatnachrichten, E-Mails usw. zu stehlen.“
In dem heute veröffentlichten , genannt DragonBlood, haben Forscher zwei Arten von Designfehlern in WPA3 detailliert untersucht: die erste führt zu Abstiegsangriffen, die zweite zu Seitenkanalleckagen.
Seitenkanalangriff basierend auf Cache
Der Passwortverschlüsselungsalgorithmus in Dragonfly, auch als "Hunting and Pecking"-Algorithmus bekannt, enthält bedingte Verzweigungen. Wenn ein Angreifer feststellen kann, welche Verzweigung genommen wurde, kann er herausfinden, ob ein Passwortelement in der jeweiligen Iteration dieses Algorithmus gefunden wurde. In der Praxis wurde festgestellt, dass ein Angreifer, der nicht privilegierten Code auf dem Opfercomputer ausführen kann, Cache-basierte Angriffe verwenden kann, um zu bestimmen, welche Verzweigung bei der ersten Iteration des Passwortgenerierungsalgorithmus gewählt wurde. Diese Informationen können verwendet werden, um einen Passwortsplitterangriff durchzuführen (ähnlich einem Offline-Wörterbuchangriff).
Diese Schwachstelle wird unter der ID CVE-2019-9494 geführt.
Der Schutz besteht darin, bedingte Verzweigungen, die von geheimen Werten abhängen, durch Auswahlfunktionen mit konstanter Zeit zu ersetzen. Die Implementierungen sollten auch Berechnungen verwenden. mit konstanter Zeit.
Seitenkanalangriff basierend auf Synchronisation
Wenn das Dragonfly-Handschlag bestimmte multiplikative Gruppen verwendet, nutzt der Passwortverschlüsselungsalgorithmus eine variable Anzahl von Iterationen zur Verschlüsselung des Passworts. Die genaue Anzahl der Iterationen hängt vom verwendeten Passwort und der MAC-Adresse des Access Points sowie des Clients ab. Ein Angreifer könnte einen Remote-Zeitangriff auf den Passwortverschlüsselungsalgorithmus durchführen, um zu bestimmen, wie viele Iterationen zur Verschlüsselung des Passworts erforderlich waren. Die wiederhergestellten Informationen könnten für einen Passwortangriff verwendet werden, der einem Offline-Wortangriff ähnelt.
Um einen Synchronisationsangriff zu verhindern, sollten Implementierungen die verwundbaren multiplikativen Gruppen deaktivieren. Technisch gesehen sollten die Gruppen MODP 22, 23 und 24 deaktiviert werden. Es wird auch empfohlen, die Gruppen MODP 1, 2 und 5 zu deaktivieren.
Diese Schwachstelle wird auch unter der ID CVE-2019-9494 verfolgt, aufgrund der Ähnlichkeit der Angriffsimplementierung.
WPA3-Downgrade
Da das 15 Jahre alte Protokoll WPA2 von Milliarden von Geräten weit verbreitet genutzt wird, wird die Verbreitung von WPA3 nicht über Nacht erfolgen. Um ältere Geräte zu unterstützen, bieten zertifizierte WPA3-Geräte einen "Übergangsmodus", der konfiguriert werden kann, um Verbindungen sowohl mit WPA3-SAE als auch mit WPA2 zu akzeptieren.
Forschern zufolge ist der Übergangsmodus anfällig für Downgrade-Angriffe, die Angreifer nutzen können, um einen betrügerischen Access Point zu erstellen, der nur WPA2 unterstützt, was dazu führt, dass WPA3-fähige Geräte sich über ein unsicheres vierstufiges Handshake mit WPA2 verbinden.
"Wir haben auch einen Downgrade-Angriff auf das SAE-Handshake selbst entdeckt ("Simultaneous Authentication of Equals", allgemein bekannt als „Dragonfly“), bei dem wir ein Gerät dazu bringen können, eine schwächere elliptische Kurve zu verwenden als gewöhnlich", sagen die Forscher.
Darüber hinaus ist die Position „Mensch in der Mitte“ für eine Angriffsart zur Herabsetzung des Ratings nicht erforderlich. Stattdessen müssen Angreifer lediglich den SSID des WPA3-SAE Netzwerks kennen.
Forscher haben ihre Ergebnisse der Wi-Fi Alliance, einer gemeinnützigen Organisation, die WiFi-Standards und Produkte zertifiziert, die Probleme erkannt hat und mit Anbietern zusammenarbeitet, um bestehende WPA3-zertifizierte Geräte zu beheben, gemeldet.
PoC (zum Zeitpunkt der Veröffentlichung – 404)
Als Proof of Concept werden die Forscher bald die folgenden vier separaten Werkzeuge veröffentlichen (in den unten mit Hyperlinks versehenen GitHub-Repositories), die zur Überprüfung von Schwachstellen verwendet werden können.
— ein Werkzeug, das überprüfen kann, inwieweit ein Zugangspunkt anfällig für DoS-Angriffe auf das WPA3 Dragonfly-Handschlag ist.
— ein experimentelles Werkzeug zur Durchführung von Zeitattacken gegen den Dragonfly-Handschlag.
— ein experimentelles Werkzeug, das Informationen zur Wiederherstellung nach Zeitattacken erhält und eine Passwortattacke durchführt.
— ein Werkzeug, das Angriffe auf EAP-pwd durchführt.
Die Projektwebsite ist —
Quelle: habr.com
