Ο Mathy Vanhoef, ο συγγραφέας της επίθεσης KRACK σε ασύρματα δίκτυα με WPA2, και ο Eyal Ronen, ο συν-συγγραφέας ορισμένων επιθέσεων στο TLS, αποκάλυψαν πληροφορίες σχετικά με έξι τρωτά σημεία (CVE-2019-9494 - CVE-2019-9499) στην τεχνολογία προστασία των ασύρματων δικτύων WPA3, επιτρέποντάς σας να δημιουργήσετε ξανά τον κωδικό πρόσβασης σύνδεσης και να αποκτήσετε πρόσβαση στο ασύρματο δίκτυο χωρίς να γνωρίζετε τον κωδικό πρόσβασης. Τα τρωτά σημεία έχουν συλλογικά την κωδική ονομασία Dragonblood και επιτρέπουν την παραβίαση της μεθόδου διαπραγμάτευσης σύνδεσης Dragonfly, η οποία παρέχει προστασία από εικασία κωδικού πρόσβασης εκτός σύνδεσης. Εκτός από το WPA3, η μέθοδος Dragonfly χρησιμοποιείται επίσης για προστασία από την εικασία λεξικού στο πρωτόκολλο EAP-pwd που χρησιμοποιείται σε διακομιστές Android, RADIUS και hostapd/wpa_supplicant.
Η μελέτη εντόπισε δύο βασικούς τύπους αρχιτεκτονικών προβλημάτων στο WPA3. Και οι δύο τύποι προβλημάτων μπορούν τελικά να χρησιμοποιηθούν για την ανακατασκευή του κωδικού πρόσβασης. Ο πρώτος τύπος σάς επιτρέπει να επιστρέψετε σε αναξιόπιστες μεθόδους κρυπτογράφησης (επίθεση υποβάθμισης): εργαλεία για τη διασφάλιση συμβατότητας με το WPA2 (τρόπος μεταφοράς, που επιτρέπει τη χρήση των WPA2 και WPA3) επιτρέπουν στον εισβολέα να αναγκάσει τον πελάτη να εκτελέσει τη διαπραγμάτευση σύνδεσης τεσσάρων βημάτων χρησιμοποιείται από το WPA2, το οποίο επιτρέπει την περαιτέρω χρήση των κλασικών κωδικών πρόσβασης για επιθέσεις ωμής βίας που ισχύουν για το WPA2. Επιπλέον, έχει εντοπιστεί η πιθανότητα πραγματοποίησης επίθεσης υποβάθμισης απευθείας στη μέθοδο αντιστοίχισης σύνδεσης Dragonfly, επιτρέποντας σε κάποιον να επιστρέψει σε λιγότερο ασφαλείς τύπους ελλειπτικών καμπυλών.
Ο δεύτερος τύπος προβλήματος οδηγεί στη διαρροή πληροφοριών σχετικά με τα χαρακτηριστικά του κωδικού πρόσβασης μέσω καναλιών τρίτων και βασίζεται σε ελαττώματα στη μέθοδο κωδικοποίησης κωδικού πρόσβασης στο Dragonfly, τα οποία επιτρέπουν σε έμμεσα δεδομένα, όπως αλλαγές στις καθυστερήσεις κατά τη λειτουργία, να δημιουργήσουν εκ νέου τον αρχικό κωδικό πρόσβασης . Ο αλγόριθμος κατακερματισμού σε καμπύλη του Dragonfly είναι επιρρεπής σε επιθέσεις κρυφής μνήμης και ο αλγόριθμος κατακερματισμού σε ομάδα είναι επιρρεπής σε επιθέσεις χρόνου εκτέλεσης (επιθέσεις χρονισμού).
Για να εκτελέσει επιθέσεις εξόρυξης κρυφής μνήμης, ο εισβολέας πρέπει να μπορεί να εκτελέσει μη προνομιούχο κώδικα στο σύστημα του χρήστη που συνδέεται στο ασύρματο δίκτυο. Και οι δύο μέθοδοι καθιστούν δυνατή τη λήψη των απαραίτητων πληροφοριών για την αποσαφήνιση της σωστής επιλογής τμημάτων του κωδικού πρόσβασης κατά τη διαδικασία επιλογής κωδικού πρόσβασης. Η αποτελεσματικότητα της επίθεσης είναι αρκετά υψηλή και σας επιτρέπει να μαντέψετε έναν κωδικό πρόσβασης 8 χαρακτήρων που περιλαμβάνει πεζούς χαρακτήρες, παρεμποδίζοντας μόνο 40 συνεδρίες χειραψίας και ξοδεύοντας πόρους ισοδύναμους με την ενοικίαση χωρητικότητας EC2 του Amazon για 125 $.
Με βάση τα εντοπισμένα τρωτά σημεία, έχουν προταθεί διάφορα σενάρια επίθεσης:
- Επίθεση επαναφοράς στο WPA2 με δυνατότητα επιλογής λεξικού. Σε περιβάλλοντα όπου ο πελάτης και το σημείο πρόσβασης υποστηρίζουν και τα δύο WPA3 και WPA2, ένας εισβολέας θα μπορούσε να αναπτύξει το δικό του απατεώνα σημείο πρόσβασης με το ίδιο όνομα δικτύου που υποστηρίζει μόνο το WPA2. Σε μια τέτοια περίπτωση, ο πελάτης θα χρησιμοποιήσει τη μέθοδο διαπραγμάτευσης σύνδεσης που είναι χαρακτηριστική του WPA2, κατά την οποία θα καθοριστεί ότι μια τέτοια επαναφορά είναι απαράδεκτη, αλλά αυτό θα γίνει στο στάδιο που θα σταλούν μηνύματα διαπραγμάτευσης καναλιού και όλες οι απαραίτητες πληροφορίες για μια επίθεση λεξικού έχει ήδη διαρρεύσει. Μια παρόμοια μέθοδος μπορεί να χρησιμοποιηθεί για την επαναφορά προβληματικών εκδόσεων ελλειπτικών καμπυλών στο SAE.
Επιπλέον, ανακαλύφθηκε ότι ο δαίμονας iwd, που αναπτύχθηκε από την Intel ως εναλλακτική του wpa_supplicant, και η ασύρματη στοίβα Samsung Galaxy S10 είναι επιρρεπείς σε επιθέσεις υποβάθμισης ακόμη και σε δίκτυα που χρησιμοποιούν μόνο WPA3 - εάν αυτές οι συσκευές ήταν προηγουμένως συνδεδεμένες σε δίκτυο WPA3 , θα προσπαθήσουν να συνδεθούν σε ένα εικονικό δίκτυο WPA2 με το ίδιο όνομα.
- Επίθεση πλευρικού καναλιού που εξάγει πληροφορίες από την κρυφή μνήμη του επεξεργαστή. Ο αλγόριθμος κωδικοποίησης κωδικού πρόσβασης στο Dragonfly περιέχει διακλάδωση υπό όρους και ένας εισβολέας, που έχει την ευκαιρία να εκτελέσει τον κώδικα στο σύστημα του ασύρματου χρήστη, μπορεί, βάσει ανάλυσης της συμπεριφοράς της κρυφής μνήμης, να καθορίσει ποιο από τα μπλοκ έκφρασης if-then-else επιλέγεται . Οι πληροφορίες που λαμβάνονται μπορούν να χρησιμοποιηθούν για την εκτέλεση προοδευτικής εικασίας κωδικών πρόσβασης χρησιμοποιώντας μεθόδους παρόμοιες με επιθέσεις λεξικών εκτός σύνδεσης σε κωδικούς πρόσβασης WPA2. Για προστασία, προτείνεται η μετάβαση στη χρήση λειτουργιών με σταθερό χρόνο εκτέλεσης, ανεξάρτητα από τη φύση των δεδομένων που υποβάλλονται σε επεξεργασία.
- Επίθεση πλευρικού καναλιού με εκτίμηση του χρόνου εκτέλεσης της λειτουργίας. Ο κώδικας του Dragonfly χρησιμοποιεί πολλαπλές πολλαπλασιαστικές ομάδες (MODP) για την κωδικοποίηση κωδικών πρόσβασης και έναν μεταβλητό αριθμό επαναλήψεων, ο αριθμός των οποίων εξαρτάται από τον κωδικό πρόσβασης που χρησιμοποιείται και τη διεύθυνση MAC του σημείου πρόσβασης ή του πελάτη. Ένας απομακρυσμένος εισβολέας μπορεί να καθορίσει πόσες επαναλήψεις πραγματοποιήθηκαν κατά την κωδικοποίηση κωδικού πρόσβασης και να τις χρησιμοποιήσει ως ένδειξη για προοδευτική εικασία κωδικού πρόσβασης.
- Κλήση άρνησης υπηρεσίας. Ένας εισβολέας μπορεί να εμποδίσει τη λειτουργία ορισμένων λειτουργιών του σημείου πρόσβασης λόγω της εξάντλησης των διαθέσιμων πόρων στέλνοντας μεγάλο αριθμό αιτημάτων διαπραγμάτευσης καναλιών επικοινωνίας. Για να παρακάμψετε την αντιπλημμυρική προστασία που παρέχει το WPA3, αρκεί να στείλετε αιτήματα από εικονικές, μη επαναλαμβανόμενες διευθύνσεις MAC.
- Εναλλακτικά σε λιγότερο ασφαλείς κρυπτογραφικές ομάδες που χρησιμοποιούνται στη διαδικασία διαπραγμάτευσης σύνδεσης WPA3. Για παράδειγμα, εάν ένας πελάτης υποστηρίζει ελλειπτικές καμπύλες P-521 και P-256 και χρησιμοποιεί το P-521 ως επιλογή προτεραιότητας, τότε ο εισβολέας, ανεξάρτητα από την υποστήριξη
Το P-521 στην πλευρά του σημείου πρόσβασης μπορεί να αναγκάσει τον πελάτη να χρησιμοποιήσει το P-256. Η επίθεση πραγματοποιείται με φιλτράρισμα ορισμένων μηνυμάτων κατά τη διαδικασία διαπραγμάτευσης σύνδεσης και αποστολή πλαστών μηνυμάτων με πληροφορίες σχετικά με την έλλειψη υποστήριξης για ορισμένους τύπους ελλειπτικών καμπυλών.
Για τον έλεγχο των συσκευών για τρωτά σημεία, έχουν προετοιμαστεί πολλά σενάρια με παραδείγματα επιθέσεων:
- Dragonslayer - υλοποίηση επιθέσεων στο EAP-pwd.
- Το Dragondrain είναι ένα βοηθητικό πρόγραμμα για τον έλεγχο της ευπάθειας των σημείων πρόσβασης για τρωτά σημεία στην εφαρμογή της μεθόδου διαπραγμάτευσης σύνδεσης SAE (Simultaneous Authentication of Equals), η οποία μπορεί να χρησιμοποιηθεί για την έναρξη άρνησης υπηρεσίας.
- Dragontime - ένα σενάριο για τη διεξαγωγή επίθεσης πλευρικού καναλιού κατά του SAE, λαμβάνοντας υπόψη τη διαφορά στο χρόνο επεξεργασίας των λειτουργιών κατά τη χρήση των ομάδων MODP 22, 23 και 24.
- Το Dragonforce είναι ένα βοηθητικό πρόγραμμα για την ανάκτηση πληροφοριών (μάντευση κωδικού πρόσβασης) με βάση πληροφορίες σχετικά με διαφορετικούς χρόνους επεξεργασίας λειτουργιών ή για τον προσδιορισμό της διατήρησης δεδομένων στην κρυφή μνήμη.
Η Wi-Fi Alliance, η οποία αναπτύσσει πρότυπα για ασύρματα δίκτυα, ανακοίνωσε ότι το πρόβλημα επηρεάζει έναν περιορισμένο αριθμό πρώιμων υλοποιήσεων του WPA3-Personal και μπορεί να διορθωθεί μέσω μιας ενημέρωσης υλικολογισμικού και λογισμικού. Δεν έχουν καταγραφεί περιπτώσεις χρήσης ευπάθειας για την εκτέλεση κακόβουλων ενεργειών. Για να ενισχύσει την ασφάλεια, η Wi-Fi Alliance έχει προσθέσει πρόσθετες δοκιμές στο πρόγραμμα πιστοποίησης ασύρματων συσκευών για να επαληθεύσει την ορθότητα των υλοποιήσεων και έχει επίσης επικοινωνήσει με τους κατασκευαστές συσκευών για να συντονίσουν από κοινού διορθώσεις για εντοπισμένα προβλήματα. Οι ενημερώσεις κώδικα έχουν ήδη κυκλοφορήσει για hostap/wpa_supplicant. Διατίθενται ενημερώσεις πακέτων για το Ubuntu. Τα Debian, RHEL, SUSE/openSUSE, Arch, Fedora και FreeBSD εξακολουθούν να έχουν προβλήματα που δεν έχουν επιλυθεί.
Πηγή: opennet.ru