Mathy Vanhoef, der Autor der KRACK-Attacke auf WLAN-Netzwerke mit WPA2, und Eyal Ronen, Mitautorin einiger Angriffe auf TLS, haben Informationen über sechs Schwachstellen (CVE-2019-9494 bis CVE-2019-9499) in der WPA3-Sicherheitstechnologie veröffentlicht. Diese Schwachstellen ermöglichen es, das Verbindungskennwort zu rekonstruieren und ohne Kenntnis des Passworts auf ein WLAN-Netzwerk zuzugreifen. Die Schwachstellen sind unter dem Codenamen Dragonblood zusammengefasst und können die Dragonfly-Verhandlungsmethode kompromittieren, die Schutz gegen Brute-Force-Angriffe im Offline-Modus bietet. Neben WPA3 wird die Dragonfly-Methode auch zum Schutz gegen Wörterbuchangriffe im EAP-pwd-Protokoll eingesetzt, das in Android, RADIUS-Servern sowie in hostapd/wpa_supplicant zum Einsatz kommt.
In der Forschung wurden zwei Hauptarten architektonischer Probleme in WPA3 identifiziert. Beide Probleme können letztlich zur Rekonstruktion des Zugriffspassworts verwendet werden. Der erste Typ ermöglicht einen Rückgriff auf unsichere kryptografische Methoden (Downgrade-Angriff): Mittel zur Gewährleistung der Kompatibilität mit WPA2 (Transitmodus, der die Verwendung von WPA2 und WPA3 zulässt) erlauben es einem Angreifer, den Client dazu zu bringen, das WPA2 vierstufige Verbindungsprotokoll auszuführen, was es ermöglicht, klassische Passwortangriffe anzuwenden, die auf WPA2 zutreffen. Darüber hinaus wurde auch die Möglichkeit eines Downgrade-Angriffs direkt auf das Dragonfly-Verbindungsprotokoll festgestellt, was einen Rückgriff auf weniger sichere elliptische Kurven ermöglicht.
Die zweite Art von Problemen führt zu Informationen über die Passwortmerkmale, die über Drittkanäle geleakt werden, und basiert auf den Mängeln der Passwortcodierungs-Methode in Dragonfly. Diese erlauben es, aus indirekten Daten, wie Änderungen der Verzögerungen bei der Ausführung von Operationen, das ursprüngliche Passwort zu rekonstruieren. Der in Dragonfly verwendete Algorithmus zur Hash-Umwandlung in eine elliptische Kurve (hash-to-curve) ist anfällig für Angriffe durch das Nachverfolgen von Informationen im Prozessor-Cache (Cache-Angriff), während der Algorithmus zur Hash-Umwandlung in eine Gruppe (hash-to-group) durch die Messung der Ausführungszeit von Operationen (Timing-Angriff) gefährdet ist.
Um Angriffe durch Cache-Analyse durchzuführen, muss der Angreifer in der Lage sein, nicht privilegierten Code auf dem System des Benutzers auszuführen, der sich mit dem drahtlosen Netzwerk verbindet. Beide Methoden ermöglichen es, Informationen zu erhalten, die notwendig sind, um die Genauigkeit der Auswahl der Passwortteile während des Brute-Force-Versuchs zu überprüfen. Die Effektivität des Angriffs ist ausreichend hoch und ermöglicht das Knacken eines 8-stelligen Passworts, das Kleinbuchstaben enthält, indem lediglich 40 Handshake-Sitzungen abgefangen werden und Ressourcen aufgebracht werden, die einem Mietpreis von 125 Dollar für Amazon EC2 entsprechen.
Basierend auf den identifizierten Schwachstellen wurden mehrere Angriffsszenarien vorgeschlagen:
- Eine Rückfallattacke auf WPA2 mit der Möglichkeit, Wörterbuchangriffe durchzuführen. Wenn der Client und der Access Point sowohl WPA3 als auch WPA2 unterstützen, kann der Angreifer einen eigenen gefälschten Access Point mit dem gleichen Netzwerknamen einrichten, der nur WPA2 unterstützt. In einer solchen Situation verwendet der Client das für WPA2 typische Verfahren zur Verbindungsaushandlung, wobei festgestellt wird, dass ein Rückfall nicht zulässig ist, dies jedoch erst zu dem Zeitpunkt geschieht, an dem die Aushandlungsnachrichten gesendet wurden und bereits alle notwendigen Informationen für den Wörterbuchangriff abgeflossen sind. Ein ähnliches Verfahren kann auch für den Rückfall auf problematische Versionen elliptischer Kurven im SAE angewendet werden.
Darüber hinaus wurde festgestellt, dass der iwd-Dienst, der von Intel als Alternative zu wpa_supplicant entwickelt wird, und der drahtlose Stack des Samsung Galaxy S10 anfällig für Downgrade-Angriffe sind, selbst in Netzwerken, die ausschließlich WPA3 verwenden – wenn diese Geräte zuvor mit einem WPA3-Netzwerk verbunden waren, versuchen sie, sich mit dem gefälschten WPA2-Netzwerk mit dem gleichen Namen zu verbinden.
- Angriff durch Seiteneffekte mit Informationen aus dem Cache des Prozessors. Der Passwortkodierungsalgorithmus in Dragonfly enthält bedingte Verzweigungen. Ein Angreifer, der die Möglichkeit hat, Code im System des WLAN-Benutzers auszuführen, kann durch die Analyse des Cache-Verhaltens ermitteln, welcher Block der if-then-else-Anweisung ausgewählt wurde. Die erhaltenen Informationen können verwendet werden, um ein gezieltes Brute-Force-Passwort-Angriff durchzuführen, wobei Methoden ähnlich denen bei Offline-Wörterbuchattacken auf WPA2 verwendet werden. Zum Schutz wird empfohlen, auf Operationen mit konstanter Ausführungszeit zu wechseln, die unabhängig von der Art der verarbeiteten Daten sind.
- Angriff durch Seiteneffekte mit zeitbezogener Bewertung von Operationen. Im Dragonfly-Code wird bei der Passwortkodierung eine Anzahl multiplikativer Gruppen (MODP) und eine variable Anzahl von Iterationen verwendet, die von dem verwendeten Passwort und der MAC-Adresse des Access Points oder Clients abhängen. Ein angreifender Dritter kann feststellen, wie viele Iterationen während der Passwortkodierung durchgeführt wurden, und diese als Hinweis für einen gezielten Brute-Force-Passwortangriff nutzen.
- Denial-of-Service-Angriff. Der Angreifer kann bestimmte Funktionen des Access Points durch das Versenden einer großen Anzahl von Verbindungsanfragen aufgrund von Ressourcenerschöpfung blockieren. Um die in WPA3 vorgesehene Schutzmaßnahme gegen Flooding zu umgehen, reicht es aus, Anfragen mit fiktiven, einzigartigen MAC-Adressen zu senden.
- Rückfall auf weniger sichere kryptografische Gruppen, die während des Verbindungsaufbaus in WPA3 verwendet werden. Beispielsweise, wenn ein Client die elliptischen Kurven P-521 und P-256 unterstützt und P-521 als bevorzugte Option verwendet, kann der Angreifer unabhängig von der Unterstützung von P-521 auf der Seite des Access Points den Client dazu zwingen, P-256 zu verwenden. Der Angriff erfolgt durch das Abfangen bestimmter Nachrichten während des Verbindungsaufbaus und das Versenden gefälschter Nachrichten mit Informationen darüber, dass bestimmte elliptische Kurven nicht unterstützt werden.
Um die Geräte auf Schwachstellen zu überprüfen, wurden mehrere Skripte mit Beispielen für die Durchführung von Angriffen vorbereitet:
Dragonslayer — Implementierung von Angriffen auf EAP-pwd;
- Dragonslayer — Durchführung von Angriffen auf EAP-pwd;
- Dragondrain — ein Tool zur Überprüfung der Verwundbarkeit von Zugriffspunkten bei der Implementierung des SAE-Verfahrens (Simultaneous Authentication of Equals), das zur Einleitung von Denial-of-Service-Attacken verwendet werden kann;
- Dragontime — ein Skript für Angriffe über externe Kanäle gegen SAE, das die Unterschiede in der Bearbeitungszeit von Operationen bei Verwendung der MODP-Gruppen 22, 23 und 24 berücksichtigt;
- Dragonforce — ein Tool zur Wiederherstellung von Informationen (Passwortwiederherstellung) basierend auf Informationen über unterschiedliche Bearbeitungszeiten von Operationen oder zur Bestimmung des Verbleibs von Daten im Cache.
Die Wi-Fi Alliance, die Standards für drahtlose Netzwerke entwickelt, hat bekannt gegeben, dass das Problem nur eine begrenzte Anzahl früher Implementierungen von WPA3-Personal betrifft und durch Firmware- und Software-Updates behoben werden kann. Bisher wurden keine Fälle dokumentiert, in denen diese Schwachstellen für schädliche Zwecke ausgenutzt wurden. Um den Schutz zu verstärken, hat die Wi-Fi Alliance zusätzliche Tests in das Zertifizierungsprogramm für drahtlose Geräte aufgenommen, um die Richtigkeit der Implementierungen zu überprüfen, und hat sich mit Geräteherstellern in Verbindung gesetzt, um die Behebung der festgestellten Probleme gemeinsam zu koordinieren. Patches zur Behebung der Probleme wurden bereits für hostap/wpa_supplicant veröffentlicht. Paketupdates sind für Ubuntu verfügbar. In Debian, RHEL, SUSE/openSUSE, Arch, Fedora und FreeBSD sind die Probleme noch nicht behoben.
Quelle: opennet.ru
