Mathy Vanhoef, la verkinto de la KRACK-atako sur sendrataj retoj kun WPA2, kaj Eyal Ronen, la kunaŭtoro de iuj atakoj kontraŭ TLS, malkaŝis informojn pri ses vundeblecoj (CVE-2019-9494 - CVE-2019-9499) en la teknologio. protekto de sendrataj retoj WPA3, permesante al vi rekrei la konektan pasvorton kaj akiri aliron al la sendrata reto sen scii la pasvorton. La vundeblecoj estas kolektive kodita Dragonblood kaj permesas la Dragonfly konekto intertraktado metodo, kiu provizas protekton kontraŭ eksterreta pasvorta divenado, esti endanĝerigita. Krom WPA3, la metodo Dragonfly ankaŭ estas uzata por protekti kontraŭ vortaro divenado en la protokolo EAP-pwd uzata en Android, RADIUS-serviloj kaj hostapd/wpa_supplicant.
La studo identigis du ĉefajn specojn de arkitekturaj problemoj en WPA3. Ambaŭ tipoj de problemoj povas finfine esti uzataj por rekonstrui la alirpasvorton. La unua tipo ebligas al vi reveni al nefidindaj kriptografiaj metodoj (malaltiĝo-atako): iloj por certigi kongruon kun WPA2 (transira reĝimo, permesante la uzon de WPA2 kaj WPA3) permesas al la atakanto devigi la klienton plenumi la kvar-paŝan konekton intertraktadon. uzata de WPA2, kiu permesas plian uzon de klasikaj krudfortaj atakpasvortoj aplikeblaj al WPA2. Krome, la ebleco de aranĝado de malaltgradatako rekte sur la Dragonfly-konektkongrua metodo estis identigita, permesante al oni ruliĝi reen al malpli sekuraj specoj de elipsaj kurboj.
La dua speco de problemo kondukas al la elfluo de informoj pri pasvortkarakterizaĵoj tra triaj kanaloj kaj baziĝas sur difektoj en la pasvorta kodiga metodo en Dragonfly, kiuj permesas nerektajn datumojn, kiel ŝanĝojn en prokrastoj dum operacioj, rekrei la originalan pasvorton. . La hash-al-kurba algoritmo de Dragonfly estas susceptible al kaŝmemoraj atakoj, kaj ĝia hash-al-grupa algoritmo estas susceptible al ekzekuttempaj atakoj.
Por fari kaŝmemorajn atakojn, la atakanto devas povi efektivigi senprivilegian kodon en la sistemo de la uzanto konektanta al la sendrata reto. Ambaŭ metodoj ebligas akiri la necesajn informojn por klarigi la ĝustan elekton de pasvortpartoj dum la pasvorta elekta procezo. La efikeco de la atako estas sufiĉe alta kaj permesas vin diveni 8-karakteran pasvorton, kiu inkluzivas minusklojn, kaptante nur 40 manpremsesiojn kaj elspezante rimedojn ekvivalentajn al lui Amazon EC2-kapacito por $ 125.
Surbaze de la identigitaj vundeblecoj, pluraj atakscenaroj estis proponitaj:
- Rollback atako sur WPA2 kun la kapablo efektivigi vortaran elekton. En medioj kie la kliento kaj alirpunkto subtenas kaj WPA3 kaj WPA2, atakanto povus deploji sian propran friponan alirpunkton kun la sama retnomo kiu nur subtenas WPA2. En tia situacio, la kliento uzos la konektan intertraktadmetodon karakterizan de WPA2, dum kiu estos determinite, ke tia malakcepto estas neakceptebla, sed tio estos farita en la stadio kiam kanalaj intertraktado mesaĝoj estos senditaj kaj ĉiuj necesaj informoj. ĉar vortara atako jam likis. Simila metodo povas esti uzita por retroigi problemajn versiojn de elipsaj kurboj en SAE.
Krome, estis malkovrite, ke la iwd-demono, evoluigita de Intel kiel alternativo al wpa_supplicant, kaj la sendrata stako Samsung Galaxy S10 estas susceptibles al malaltiĝo de atakoj eĉ en retoj kiuj uzas nur WPA3 - se ĉi tiuj aparatoj antaŭe estis konektitaj al reto WPA3. , ili provos konektiĝi al imita WPA2-reto kun la sama nomo.
- Flankkanala atako, kiu ĉerpas informojn el la procesora kaŝmemoro. La pasvorta kodiga algoritmo en Dragonfly enhavas kondiĉan disbranĉigon kaj atakanto, havanta la kapablon efektivigi la kodon sur la sistemo de sendrata uzanto, povas, surbaze de analizo de kaŝmemorkonduto, determini kiu el la se-tiam-alie esprimblokoj estas elektita. La akiritaj informoj povas esti uzataj por fari progreseman pasvortdivenadon uzante metodojn similajn al eksterretaj vortaratakoj sur WPA2-pasvortoj. Por protekto, estas proponite ŝanĝi al uzado de operacioj kun konstanta ekzekuttempo, sendepende de la naturo de la datumoj prilaboritaj;
- Flankkanala atako kun takso de operacia ekzekuttempo. La kodo de Dragonfly uzas multoblajn multiplikajn grupojn (MODP) por ĉifri pasvortojn kaj varian nombron da ripetoj, kies nombro dependas de la pasvorto uzita kaj la MAC-adreso de la alirpunkto aŭ kliento. Fora atakanto povas determini kiom da ripetoj estis faritaj dum pasvorta kodado kaj uzi ilin kiel indikon por progresema pasvorta divenado.
- Neo de servovoko. Atakanto povas bloki la funkciadon de iuj funkcioj de la alirpunkto pro la elĉerpiĝo de disponeblaj rimedoj sendante grandan nombron da komunikaj kanalaj intertraktadpetoj. Por preteriri la inundoprotekton provizitan de WPA3, sufiĉas sendi petojn de fikciaj, ne-ripetantaj MAC-adresoj.
- Refalo al malpli sekuraj ĉifrikaj grupoj uzataj en la intertraktadprocezo de konekto WPA3. Ekzemple, se kliento apogas elipsajn kurbojn P-521 kaj P-256, kaj utiligas P-521 kiel la prioritatopcion, tiam la atakanto, sendepende de subteno
P-521 sur la alirpunktoflanko povas devigi la klienton uzi P-256. La atako estas farita per filtrado de iuj mesaĝoj dum la koneksa intertraktado kaj sendante falsajn mesaĝojn kun informoj pri la manko de subteno por iuj specoj de elipsaj kurboj.
Por kontroli aparatojn pri vundeblecoj, pluraj skriptoj estis preparitaj kun ekzemploj de atakoj:
- Dragonslayer - efektivigo de atakoj sur EAP-pwd;
- Dragondrain estas utileco por kontroli la vundeblecon de alirpunktoj por vundeblecoj en la efektivigo de la SAE (Samtempa Authentication of Equals) koneksa intertraktadmetodo, kiu povas esti uzata por iniciati neon de servo;
- Dragontime - skripto por fari flankkanalan atakon kontraŭ SAE, konsiderante la diferencon en pretigtempo de operacioj kiam vi uzas MODP-grupojn 22, 23 kaj 24;
- Dragonforce estas ilo por reakiri informojn (pasvortdivenado) surbaze de informoj pri malsamaj pretigaj tempoj de operacioj aŭ determini la retenon de datumoj en la kaŝmemoro.
La Wi-Fi Alliance, kiu disvolvas normojn por sendrataj retoj, anoncis, ke la problemo influas limigitan nombron da fruaj efektivigoj de WPA3-Persona kaj povas esti riparita per ĝisdatigo de firmware kaj programaro. Ne estis dokumentitaj kazoj de vundeblecoj uzataj por fari malicajn agojn. Por plifortigi sekurecon, la Wi-Fi-Alianco aldonis pliajn testojn al la sendrata aparato-atestprogramo por kontroli la ĝustecon de efektivigoj, kaj ankaŭ kontaktis aparatojn fabrikistojn por kune kunordigi korektojn por identigitaj problemoj. Flikiloj jam estis liberigitaj por hostap/wpa_supplicant. Pakaj ĝisdatigoj disponeblas por Ubuntu. Debian, RHEL, SUSE/openSUSE, Arch, Fedora kaj FreeBSD ankoraŭ havas problemojn nesolvitaj.
fonto: opennet.ru