Obwohl der neue WPA3-Standard noch nicht vollständig implementiert ist, ermöglichen Sicherheitslücken in diesem Protokoll Angreifern das Hacken von WLAN-Passwörtern.
Wi-Fi Protected Access III (WPA3) wurde eingeführt, um die technischen Mängel des WPA2-Protokolls zu beheben, das lange Zeit als unsicher und anfällig für KRACK (Key Reinstallation Attack) galt. Obwohl WPA3 auf einem sichereren Handshake namens Dragonfly basiert, der Wi-Fi-Netzwerke vor Offline-Wörterbuchangriffen (Offline-Brute-Force) schützen soll, haben die Sicherheitsforscher Mathy Vanhoef und Eyal Ronen Schwachstellen in einer frühen Implementierung von WPA3-Personal gefunden, die dies ermöglichen könnten Ein Angreifer kann WLAN-Passwörter wiederherstellen, indem er Timings oder Nebencaches missbraucht.
„Angreifer können Informationen lesen, die WPA3 sicher verschlüsseln soll. Dadurch können sensible Informationen wie Kreditkartennummern, Passwörter, Chat-Nachrichten, E-Mails usw. gestohlen werden.“
Heute veröffentlicht Mit dem Namen DragonBlood untersuchten die Forscher zwei Arten von Designfehlern in WPA3 genauer: Der erste führt zu Downgrade-Angriffen und der zweite zu seitlichen Cache-Lecks.
Cache-basierter Seitenkanalangriff
Der Passwortverschlüsselungsalgorithmus von Dragonfly, auch als Jagd- und Pickalgorithmus bekannt, enthält bedingte Verzweigungen. Wenn ein Angreifer feststellen kann, welcher Zweig des Wenn-Dann-Sonst-Zweigs verwendet wurde, kann er herausfinden, ob das Passwortelement in einer bestimmten Iteration dieses Algorithmus gefunden wurde. In der Praxis hat sich herausgestellt, dass es möglich ist, mithilfe von Cache-basierten Angriffen festzustellen, welcher Zweig in der ersten Iteration des Passwortgenerierungsalgorithmus versucht wurde, wenn ein Angreifer unprivilegierten Code auf dem Computer seines Opfers ausführen kann. Diese Informationen können verwendet werden, um einen Passwort-Splitting-Angriff durchzuführen (dies ähnelt einem Offline-Wörterbuch-Angriff).
Diese Schwachstelle wird mit CVE-2019-9494 verfolgt.
Die Verteidigung besteht darin, bedingte Zweige, die von geheimen Werten abhängen, durch zeitkonstante Auswahldienstprogramme zu ersetzen. Implementierungen müssen auch Berechnungen verwenden mit konstanter Zeit.
Synchronisationsbasierter Seitenkanalangriff
Wenn der Dragonfly-Handshake bestimmte multiplikative Gruppen verwendet, verwendet der Passwort-Kodierungsalgorithmus eine variable Anzahl von Iterationen, um das Passwort zu kodieren. Die genaue Anzahl der Iterationen hängt vom verwendeten Passwort und der MAC-Adresse des Access Points und Clients ab. Ein Angreifer kann einen Remote-Timing-Angriff auf den Passwortverschlüsselungsalgorithmus durchführen, um festzustellen, wie viele Iterationen zur Verschlüsselung des Passworts erforderlich waren. Die wiederhergestellten Informationen können für einen Passwortangriff verwendet werden, der einem Offline-Wörterbuchangriff ähnelt.
Um einen Timing-Angriff zu verhindern, sollten Implementierungen anfällige multiplikative Gruppen deaktivieren. Aus technischer Sicht sollten die MODP-Gruppen 22, 23 und 24 deaktiviert werden. Es wird außerdem empfohlen, die MODP-Gruppen 1, 2 und 5 zu deaktivieren.
Diese Schwachstelle wird aufgrund der Ähnlichkeit in der Angriffsimplementierung auch mit CVE-2019-9494 verfolgt.
WPA3-Downgrade
Da das 15 Jahre alte WPA2-Protokoll von Milliarden Geräten weit verbreitet ist, wird die flächendeckende Einführung von WPA3 nicht über Nacht erfolgen. Um ältere Geräte zu unterstützen, bieten WPA3-zertifizierte Geräte einen „Übergangsbetriebsmodus“, der so konfiguriert werden kann, dass Verbindungen sowohl über WPA3-SAE als auch über WPA2 akzeptiert werden.
Die Forscher glauben, dass der Transient-Modus anfällig für Downgrade-Angriffe ist, mit denen Angreifer einen betrügerischen Zugangspunkt erstellen können, der nur WPA2 unterstützt, wodurch WPA3-fähige Geräte gezwungen werden, eine Verbindung über einen unsicheren WPA2-Vier-Wege-Handshake herzustellen.
„Wir haben auch einen Downgrade-Angriff auf den SAE-Handshake (Simultaneous Authentication of Peers, allgemein bekannt als Dragonfly) selbst entdeckt, bei dem wir das Gerät zwingen können, eine schwächere elliptische Kurve als normal zu verwenden“, sagten die Forscher.
Darüber hinaus ist die Man-in-the-Middle-Position für die Durchführung eines Downgrade-Angriffs nicht erforderlich. Stattdessen müssen Angreifer lediglich die SSID des WPA3-SAE-Netzwerks kennen.
Die Forscher meldeten ihre Ergebnisse der Wi-Fi Alliance, einer gemeinnützigen Organisation, die WLAN-Standards und WLAN-Produkte auf Konformität zertifiziert. Diese hat die Probleme erkannt und arbeitet mit Anbietern zusammen, um bestehende WPA3-zertifizierte Geräte zu reparieren.
PoC (404 zum Zeitpunkt der Veröffentlichung)
Als Proof of Concept werden die Forscher in Kürze die folgenden vier separaten Tools (in den unten verlinkten GitHub-Repositories) veröffentlichen, die zum Testen von Schwachstellen verwendet werden können.
ist ein Tool, das testen kann, inwieweit ein Access Point anfällig für Dos-Angriffe auf den WPA3 Dragonfly-Handshake ist.
– Ein experimentelles Tool zur Durchführung zeitgesteuerter Angriffe gegen den Dragonfly-Handshake.
ist ein experimentelles Tool, das Wiederherstellungsinformationen aus Timing-Angriffen erhält und einen Passwortangriff durchführt.
- ein Tool, das Angriffe auf EAP-pwd durchführt.
Projektwebsite -
Source: habr.com