Traadita võrkudele suunatud KRACKi rünnaku autor Mathy Vanhoef avalikustas 12 haavatavuse üksikasjad, mis mõjutavad erinevaid traadita seadmeid. Tuvastatud probleemide koodnimetus on FragAttacks ja need hõlmavad peaaegu kõiki kasutatavaid traadita side kaarte ja pääsupunkte – 75 testitud seadmest oli igaühel vähemalt üks pakutud ründemeetod.
Probleemid jagunevad kahte kategooriasse: 3 turvaauku tuvastatakse otse Wi-Fi standardites ja need hõlmavad kõiki praeguseid IEEE 802.11 standardeid toetavaid seadmeid (probleemidele on jälile tehtud alates 1997. aastast). 9 haavatavust on seotud vigade ja vigadega konkreetsetes traadita virna rakendustes. Peamine oht on teine kategooria, kuna standardite puuduste vastu suunatud rünnakute korraldamine nõuab konkreetseid seadistusi või ohvrilt teatud toimingute tegemist. Kõik haavatavused ilmnevad sõltumata Wi-Fi turvaprotokollide kasutamisest, sealhulgas WPA3 kasutamisel.
Enamik tuvastatud ründemeetodeid võimaldab ründajal sooritada L2 kaadri asendamist turvalises võrgus, mis võimaldab tungida ohvri liiklusesse. Kõige realistlikuma rünnakustsenaariumina mainitakse DNS-i vastuse võltsimist, et suunata kasutaja ründaja hosti. Samuti on see näide turvaaukude kasutamisest traadita ruuteri aadressi tõlkijast möödahiilimiseks ja otsese juurdepääsu võimaldamiseks kohtvõrgus olevale seadmele või tulemüüri piirangute ignoreerimiseks. Haavatavuste teine osa, mis on seotud killustatud kaadrite töötlemisega, võimaldab eraldada traadita võrgus liiklusandmeid ja pealt kuulata edastatud kasutajaandmeid ilma krüptimist kasutamata.
Teadlane on koostanud demonstratsiooni, mis näitab, kuidas turvaauke saab kasutada HTTP kaudu saidile krüptimata juurdepääsul edastatava parooli pealtkuulamiseks. See näitab ka, kuidas rünnata Wi-Fi-ga juhitavat nutipesa ja kasutada seda hüppelauana, et jätkata rünnata kohaliku võrgu värskendamata seadmeid, millel on parandamata haavatavused (näiteks Windows7 sisevõrgu kaudu oli võimalik rünnata uuendamata arvutivõrku).
Turvaaukude ärakasutamiseks peab ründaja olema sihtmärgiks oleva traadita seadme levialas, et saata ohvrile spetsiaalselt koostatud kaadrite komplekt. Probleemid puudutavad nii klientseadmeid kui ka juhtmeta kaarte, aga ka pääsupunkte ja Wi-Fi ruutereid. Üldiselt piisab lahendusena HTTPS-i kasutamisest koos DNS-liikluse krüptimisega, kasutades DNS-i üle TLS-i või DNS-i üle HTTPS-i. VPN-id on head ka kaitseks.
Kõige ohtlikumad on neli traadita seadmete juurutuste haavatavust, mis võimaldavad triviaalseid meetodeid nende krüptimata kaadrite asendamiseks:
- Haavatavused CVE-2020-26140 ja CVE-2020-26143 võimaldavad Linuxi, Windowsi ja FreeBSD pääsupunktide ja traadita kaartide kaadrite võltsimist.
- Haavatavus VE-2020-26145 võimaldab edastada krüptimata fragmente MacOS-is, iOS-is ning FreeBSD-s ja NetBSD-s täiskaadritena.
- Haavatavus CVE-2020-26144 võimaldab töödelda EtherType EAPOL-iga krüptimata uuesti kokkupandud A-MSDU kaadreid Huawei Y6, Nexus 5X, FreeBSD ja LANCOM AP-ga.
Muud juurutuste haavatavused on peamiselt seotud probleemidega, mis tekivad killustatud kaadrite töötlemisel:
- CVE-2020-26139: Võimaldab ümber suunata autentimata saatjalt saadetud EAPOL-iga märgistatud kaadreid (mõjutab 2/4 kinnitatud AP-dest, NetBSD-l ja FreeBSD-l põhinevatest lahendustest).
- CVE-2020-26146: võimaldab krüptitud fragmente uuesti kokku panna ilma järjekorranumbrite järjekorda kontrollimata.
- CVE-2020-26147: võimaldab uuesti kokku panna segatud krüptitud ja krüpteerimata fragmente.
- CVE-2020-26142: Võimaldab käsitleda killustatud kaadreid täiskaadritena (mõjutab OpenBSD ja ESP12-F traadita moodulit).
- CVE-2020-26141: puudub killustatud kaadrite TKIP MIC kontroll.
Probleemid spetsifikatsioonides:
- CVE-2020-24588 – rünnak koondatud kaadrite vastu (lipp "on koondatud" ei ole kaitstud ja selle saab WPA, WPA2, WPA3 ja WEP A-MSDU kaadrites ründajaga asendada). Rünnaku näitena mainitakse kasutaja ümbersuunamist pahatahtlikule DNS-serverisse või NAT-i läbimist.
- CVE-2020-245870 – võtme segamise rünnak (WPA, WPA2, WPA3 ja WEP erinevate võtmetega krüpteeritud fragmentide uuesti kokkupanek on lubatud). Rünnak võimaldab määrata kliendi saadetud andmeid, näiteks HTTP kaudu ligipääsetava küpsise sisu määramiseks.
- CVE-2020-24586 – Fragment Cache Attack (WPA, WPA2, WPA3 ja WEP standardid ei nõua vahemällu salvestatud fragmentide kustutamist pärast uut võrguühendust). Võimaldab määrata kliendi saadetud andmeid ja teostada oma andmete asendamist.
Et testida nende seadmete vastuvõtlikkust probleemidele, on buutiva USB-draivi loomiseks koostatud spetsiaalne tööriistakomplekt ja valmis Live-image. Linuxis ilmnevad probleemid mac80211 traadita võrgus, eraldi traadita ühenduse draiverites ja traadita ühenduse plaatidele laaditavas püsivaras. Haavatavuste kõrvaldamiseks on pakutud välja komplekt plaastreid, mis hõlmavad mac80211 pinu ja ath10k / ath11k draivereid. Mõnede seadmete (nt Inteli traadita kaardid) jaoks on vaja täiendavat püsivara värskendust.
Tüüpiliste seadmete testid:
Traadita ühenduse kaardi testid Linuxis ja Windowsis:
Traadita kaardi testid FreeBSD-s ja NetBSD-s:
Tootjaid teavitati probleemidest 9 kuud tagasi. Nii pika embargoperioodi põhjuseks on uuenduste koordineeritud ettevalmistamine ja viivitused spetsifikatsioonide muudatuste ettevalmistamisel ICASI ja Wi-Fi Alliance'i poolt. Esialgu oli plaanis info avalikustada 9. märtsil, kuid pärast riskide kaalumist otsustati avaldamine veel kahe kuu võrra edasi lükata, et anda rohkem aega plaastrite ettevalmistamiseks, arvestades tehtavate muudatuste mittetriviaalsust ja COVID-19 pandeemiast tulenevaid raskusi.
Tähelepanuväärne on, et hoolimata embargost kõrvaldas Microsoft märtsikuu Windowsi värskenduses mõned haavatavused enne tähtaega. Avalikustamine viibis nädal enne algselt kavandatud kuupäeva ning Microsoftil ei olnud aega või ei soovinud avaldamiseks valmis ajastatud värskendustes muudatusi teha, mis tekitas ohu teiste süsteemide kasutajatele, kuna ründajad said turvaaukude kohta teavet hankida värskenduste sisu pöördprojekteerimine.
Allikas: opennet.ru