Mathy Vanhoef, der Autor des KRACK-Angriffs auf drahtlose Netzwerke mit WPA2, und Eyal Ronen, der Co-Autor einiger Angriffe auf TLS, veröffentlichten Informationen über sechs Schwachstellen (CVE-2019-9494 – CVE-2019-9499) in der Technologie Schutz von drahtlosen WPA3-Netzwerken, sodass Sie das Verbindungskennwort wiederherstellen und auf das drahtlose Netzwerk zugreifen können, ohne das Kennwort zu kennen. Die Schwachstellen tragen zusammen den Codenamen Dragonblood und ermöglichen die Kompromittierung der Dragonfly-Verbindungsaushandlungsmethode, die Schutz vor dem Erraten von Offline-Passwörtern bietet. Zusätzlich zu WPA3 wird die Dragonfly-Methode auch zum Schutz vor Wörterbuchraten im EAP-pwd-Protokoll verwendet, das in Android, RADIUS-Servern und hostapd/wpa_supplicant verwendet wird.
Die Studie identifizierte zwei Haupttypen von Architekturproblemen in WPA3. Beide Arten von Problemen können letztendlich zur Rekonstruktion des Zugangspassworts genutzt werden. Der erste Typ ermöglicht das Zurücksetzen auf unzuverlässige kryptografische Methoden (Downgrade-Angriff): Tools zur Sicherstellung der Kompatibilität mit WPA2 (Transitmodus, der die Verwendung von WPA2 und WPA3 ermöglicht) ermöglichen es dem Angreifer, den Client zu einer vierstufigen Verbindungsaushandlung zu zwingen Wird von WPA2 verwendet, was die weitere Verwendung klassischer Brute-Force-Angriffskennwörter ermöglicht, die für WPA2 gelten. Darüber hinaus wurde die Möglichkeit identifiziert, einen Downgrade-Angriff direkt auf die Dragonfly-Verbindungsanpassungsmethode durchzuführen, wodurch ein Rollback auf weniger sichere Arten elliptischer Kurven möglich ist.
Die zweite Art von Problem führt zur Weitergabe von Informationen über Passworteigenschaften über Kanäle Dritter und basiert auf Fehlern in der Passwort-Verschlüsselungsmethode in Dragonfly, die es ermöglichen, das ursprüngliche Passwort durch indirekte Daten, wie z. B. Änderungen bei Verzögerungen während des Betriebs, wiederherzustellen . Der Hash-to-Curve-Algorithmus von Dragonfly ist anfällig für Cache-Angriffe und sein Hash-to-Group-Algorithmus ist anfällig für Ausführungszeitangriffe. Operationen (Timing-Angriff).
Um Cache-Mining-Angriffe durchzuführen, muss der Angreifer in der Lage sein, unprivilegierten Code auf dem System des Benutzers auszuführen, der sich mit dem drahtlosen Netzwerk verbindet. Beide Methoden ermöglichen es, bei der Passwortauswahl die notwendigen Informationen zu erhalten, um die richtige Wahl von Teilen des Passworts zu klären. Die Effektivität des Angriffs ist ziemlich hoch und ermöglicht es Ihnen, ein 8-stelliges Passwort zu erraten, das Kleinbuchstaben enthält, wodurch nur 40 Handshake-Sitzungen abgefangen werden und Ressourcen in der Höhe der Miete von Amazon EC2-Kapazität für 125 US-Dollar aufgewendet werden.
Basierend auf den identifizierten Schwachstellen wurden mehrere Angriffsszenarien vorgeschlagen:
- Rollback-Angriff auf WPA2 mit der Möglichkeit, eine Wörterbuchauswahl durchzuführen. In Umgebungen, in denen der Client und der Zugangspunkt sowohl WPA3 als auch WPA2 unterstützen, könnte ein Angreifer einen eigenen nicht autorisierten Zugangspunkt mit demselben Netzwerknamen bereitstellen, der nur WPA2 unterstützt. In einer solchen Situation verwendet der Client die für WPA2 charakteristische Verbindungsaushandlungsmethode, bei der festgestellt wird, dass ein solches Rollback unzulässig ist. Dies erfolgt jedoch in der Phase, in der Kanalaushandlungsnachrichten und alle erforderlichen Informationen gesendet wurden für einen Wörterbuchangriff ist bereits durchgesickert. Eine ähnliche Methode kann verwendet werden, um problematische Versionen elliptischer Kurven in SAE zurückzusetzen.
Darüber hinaus wurde festgestellt, dass der von Intel als Alternative zu wpa_supplicant entwickelte iwd-Daemon und der Wireless-Stack des Samsung Galaxy S10 selbst in Netzwerken, die nur WPA3 verwenden, anfällig für Downgrade-Angriffe sind – wenn diese Geräte zuvor mit einem WPA3-Netzwerk verbunden waren , werden sie versuchen, eine Verbindung zu einem Dummy-WPA2-Netzwerk mit demselben Namen herzustellen.
- Seitenkanalangriff, der Informationen aus dem Prozessor-Cache extrahiert. Der Passwort-Verschlüsselungsalgorithmus in Dragonfly enthält bedingte Verzweigungen und ein Angreifer, der die Möglichkeit hat, den Code auf dem System des drahtlosen Benutzers auszuführen, kann anhand einer Analyse des Cache-Verhaltens bestimmen, welcher der Wenn-Dann-Sonst-Ausdrucksblöcke ausgewählt wird . Die erhaltenen Informationen können verwendet werden, um ein progressives Erraten von Passwörtern durchzuführen, wobei Methoden verwendet werden, die Offline-Wörterbuchangriffen auf WPA2-Passwörter ähneln. Zum Schutz wird vorgeschlagen, auf Operationen mit konstanter Ausführungszeit umzusteigen, unabhängig von der Art der verarbeiteten Daten;
- Seitenkanalangriff mit Schätzung der Operationsausführungszeit. Der Code von Dragonfly verwendet mehrere multiplikative Gruppen (MODP) zur Codierung von Passwörtern und eine variable Anzahl von Iterationen, deren Anzahl vom verwendeten Passwort und der MAC-Adresse des Zugangspunkts oder Clients abhängt. Ein Remote-Angreifer kann feststellen, wie viele Iterationen während der Passwortverschlüsselung durchgeführt wurden, und diese als Anhaltspunkt für das fortschreitende Erraten von Passwörtern verwenden.
- Denial-of-Service-Anruf. Ein Angreifer kann den Betrieb bestimmter Funktionen des Access Points aufgrund der Erschöpfung der verfügbaren Ressourcen blockieren, indem er eine große Anzahl von Kommunikationskanal-Aushandlungsanfragen sendet. Um den Flood-Schutz von WPA3 zu umgehen, reicht es aus, Anfragen von fiktiven, sich nicht wiederholenden MAC-Adressen zu senden.
- Fallback auf weniger sichere kryptografische Gruppen, die im WPA3-Verbindungsaushandlungsprozess verwendet werden. Wenn ein Client beispielsweise die elliptischen Kurven P-521 und P-256 unterstützt und P-521 als Prioritätsoption verwendet, dann ist der Angreifer unabhängig von der Unterstützung
P-521 auf der Access-Point-Seite kann den Client dazu zwingen, P-256 zu verwenden. Der Angriff erfolgt durch das Herausfiltern einiger Nachrichten während des Verbindungsaushandlungsprozesses und das Versenden gefälschter Nachrichten mit Informationen über die mangelnde Unterstützung bestimmter Arten von elliptischen Kurven.
Um Geräte auf Schwachstellen zu überprüfen, wurden mehrere Skripte mit Angriffsbeispielen erstellt:
- Dragonslayer – Implementierung von Angriffen auf EAP-pwd;
- Dragondrain ist ein Dienstprogramm zur Überprüfung der Anfälligkeit von Zugangspunkten auf Schwachstellen bei der Implementierung der SAE-Verbindungsaushandlungsmethode (Simultaneous Authentication of Equals), mit der ein Denial-of-Service eingeleitet werden kann.
- Dragontime – ein Skript zur Durchführung eines Seitenkanalangriffs gegen SAE unter Berücksichtigung des Unterschieds in der Verarbeitungszeit von Vorgängen bei Verwendung der MODP-Gruppen 22, 23 und 24;
- Dragonforce ist ein Dienstprogramm zum Wiederherstellen von Informationen (Erraten von Passwörtern) basierend auf Informationen über unterschiedliche Verarbeitungszeiten von Vorgängen oder zum Bestimmen der Aufbewahrung von Daten im Cache.
Die Wi-Fi Alliance, die Standards für drahtlose Netzwerke entwickelt, gab bekannt, dass das Problem eine begrenzte Anzahl früher Implementierungen von WPA3-Personal betrifft und durch ein Firmware- und Software-Update behoben werden kann. Es gibt keine dokumentierten Fälle, in denen Schwachstellen für böswillige Aktionen ausgenutzt wurden. Um die Sicherheit zu erhöhen, hat die Wi-Fi Alliance dem Zertifizierungsprogramm für drahtlose Geräte zusätzliche Tests hinzugefügt, um die Richtigkeit der Implementierungen zu überprüfen, und hat sich außerdem an Gerätehersteller gewandt, um gemeinsam Lösungen für identifizierte Probleme zu koordinieren. Für hostap/wpa_supplicant wurden bereits Patches veröffentlicht. Für Ubuntu sind Paketaktualisierungen verfügbar. Bei Debian, RHEL, SUSE/openSUSE, Arch, Fedora und FreeBSD gibt es immer noch nicht behobene Probleme.
Source: opennet.ru