متی ونهوف، نویسنده حمله KRACK به شبکههای بیسیم با WPA2، و ایال رونن، نویسنده مشترک برخی از حملات به TLS، اطلاعاتی درباره شش آسیبپذیری (CVE-2019-9494 - CVE-2019-9499) در این فناوری افشا کردند. حفاظت از شبکه های بی سیم WPA3، به شما امکان می دهد رمز عبور اتصال را دوباره ایجاد کنید و بدون دانستن رمز عبور به شبکه بی سیم دسترسی پیدا کنید. این آسیبپذیریها در مجموع با نام رمز Dragonblood شناخته میشوند و اجازه میدهند تا روش مذاکره اتصال Dragonfly، که از حدس زدن رمز عبور آفلاین محافظت میکند، به خطر بیفتد. علاوه بر WPA3، روش Dragonfly نیز برای محافظت در برابر حدس زدن فرهنگ لغت در پروتکل EAP-pwd مورد استفاده در Android، سرورهای RADIUS و hostapd/wpa_supplicant استفاده می شود.
این مطالعه دو نوع اصلی از مشکلات معماری را در WPA3 شناسایی کرد. در نهایت می توان از هر دو نوع مشکل برای بازسازی رمز عبور استفاده کرد. نوع اول به شما امکان می دهد به روش های رمزنگاری غیرقابل اعتماد برگردید (حمله کاهش رتبه): ابزارهایی برای اطمینان از سازگاری با WPA2 (حالت انتقال، امکان استفاده از WPA2 و WPA3) به مهاجم اجازه می دهد تا مشتری را مجبور به انجام مذاکره اتصال چهار مرحله ای کند. استفاده شده توسط WPA2، که امکان استفاده بیشتر از گذرواژههای کلاسیک حملات brute-force قابل استفاده برای WPA2 را فراهم میکند. علاوه بر این، امکان انجام یک حمله کاهش به طور مستقیم بر روی روش تطبیق اتصال Dragonfly شناسایی شده است که به شخص اجازه میدهد تا به انواع منحنیهای بیضوی کمتر امن برگردد.
مشکل نوع دوم منجر به نشت اطلاعات در مورد ویژگی های رمز عبور از طریق کانال های شخص ثالث می شود و بر اساس نقص در روش رمزگذاری رمز عبور در Dragonfly است که به داده های غیرمستقیم مانند تغییر در تاخیر در طول عملیات اجازه می دهد تا رمز عبور اصلی را دوباره ایجاد کند. . الگوریتم هش به منحنی Dragonfly مستعد حملات کش است و الگوریتم هش به گروه آن مستعد حملات زمان اجرا (حمله زمان بندی) است.
برای انجام حملات استخراج حافظه پنهان، مهاجم باید بتواند کدهای غیرمجاز را روی سیستم کاربر متصل به شبکه بی سیم اجرا کند. هر دو روش به دست آوردن اطلاعات لازم برای روشن شدن انتخاب صحیح قسمت های رمز عبور در طول فرآیند انتخاب رمز را ممکن می سازند. اثربخشی حمله بسیار بالا است و به شما امکان می دهد رمز عبور 8 کاراکتری را حدس بزنید که شامل کاراکترهای کوچک است، تنها 40 جلسه دست دادن را رهگیری کرده و منابعی معادل اجاره ظرفیت EC2 آمازون به قیمت 125 دلار صرف کنید.
بر اساس آسیب پذیری های شناسایی شده، چندین سناریو حمله پیشنهاد شده است:
- حمله بازگشت به WPA2 با قابلیت انتخاب دیکشنری. در محیطهایی که کلاینت و نقطه دسترسی هر دو WPA3 و WPA2 را پشتیبانی میکنند، مهاجم میتواند نقطه دسترسی سرکش خود را با همان نام شبکه که فقط از WPA2 پشتیبانی میکند، مستقر کند. در چنین شرایطی، مشتری از روش مذاکره اتصال مشخصه WPA2 استفاده میکند که طی آن مشخص میشود که چنین بازگشتی غیرقابل قبول است، اما این کار در مرحلهای انجام میشود که پیامهای مذاکره کانال ارسال شده باشد و کلیه اطلاعات لازم را داشته باشد. برای حمله به فرهنگ لغت قبلاً فاش شده است. روش مشابهی را می توان برای بازگرداندن نسخه های مشکل ساز منحنی های بیضوی در SAE استفاده کرد.
علاوه بر این، مشخص شد که iwd daemon که توسط اینتل به عنوان جایگزینی برای wpa_supplicant توسعه داده شده است، و پشته بیسیم گلکسی S10 سامسونگ حتی در شبکههایی که فقط از WPA3 استفاده میکنند، مستعد حملات کاهش رتبه هستند - اگر این دستگاهها قبلاً به شبکه WPA3 متصل شده باشند. ، آنها سعی می کنند به یک شبکه ساختگی WPA2 با همین نام متصل شوند.
- حمله کانال جانبی که اطلاعات را از حافظه پنهان پردازنده استخراج می کند. الگوریتم رمزگذاری رمز عبور در Dragonfly شامل انشعاب شرطی است و یک مهاجم با داشتن توانایی اجرای کد روی سیستم کاربر بی سیم، می تواند بر اساس تجزیه و تحلیل رفتار حافظه پنهان تعیین کند که کدام یک از بلوک های عبارت if-then-else انتخاب شده است. اطلاعات بهدستآمده را میتوان برای حدس زدن رمز عبور پیشرونده با استفاده از روشهایی مشابه حملات فرهنگ لغت آفلاین به رمزهای عبور WPA2 مورد استفاده قرار داد. برای حفاظت، پیشنهاد میشود که به استفاده از عملیات با زمان اجرای ثابت، مستقل از ماهیت دادههای در حال پردازش تغییر دهید.
- حمله کانال جانبی با تخمین زمان اجرای عملیات. کد Dragonfly از چندین گروه ضربی (MODP) برای رمزگذاری رمزهای عبور و تعداد متغیری از تکرارها استفاده می کند که تعداد آنها به رمز عبور استفاده شده و آدرس MAC نقطه دسترسی یا کلاینت بستگی دارد. یک مهاجم از راه دور می تواند تعیین کند که در طول رمزگذاری رمز عبور چند تکرار انجام شده و از آنها به عنوان نشانه ای برای حدس زدن رمز عبور پیشرو استفاده کند.
- تماس انکار خدمات یک مهاجم می تواند با ارسال تعداد زیادی درخواست مذاکره کانال ارتباطی، عملکرد برخی از عملکردهای نقطه دسترسی را به دلیل اتمام منابع موجود مسدود کند. برای دور زدن حفاظت سیل ارائه شده توسط WPA3، کافی است درخواست هایی از آدرس های MAC ساختگی و غیر تکراری ارسال کنید.
- بازگشت به گروههای رمزنگاری کمتر امن مورد استفاده در فرآیند مذاکره اتصال WPA3. به عنوان مثال، اگر مشتری از منحنی های بیضی P-521 و P-256 پشتیبانی کند و از P-521 به عنوان گزینه اولویت استفاده کند، مهاجم بدون توجه به پشتیبانی
P-521 در سمت نقطه دسترسی می تواند مشتری را مجبور به استفاده از P-256 کند. این حمله با فیلتر کردن برخی از پیامها در طول فرآیند مذاکره اتصال و ارسال پیامهای جعلی حاوی اطلاعاتی در مورد عدم پشتیبانی از انواع خاصی از منحنیهای بیضوی انجام میشود.
برای بررسی دستگاه ها از نظر آسیب پذیری، چندین اسکریپت با نمونه هایی از حملات آماده شده است:
- Dragonslayer - اجرای حملات به EAP-pwd.
- Dragondrain ابزاری برای بررسی آسیبپذیری نقاط دسترسی برای آسیبپذیریها در پیادهسازی روش مذاکره اتصال SAE (تأیید هویت همزمان برابریها) است که میتوان از آن برای شروع انکار سرویس استفاده کرد.
- Dragontime - اسکریپتی برای انجام یک حمله کانال جانبی علیه SAE با در نظر گرفتن تفاوت زمان پردازش عملیات هنگام استفاده از گروه های MODP 22، 23 و 24.
- Dragonforce ابزاری برای بازیابی اطلاعات (حدس زدن رمز عبور) بر اساس اطلاعات مربوط به زمان های مختلف پردازش عملیات یا تعیین میزان نگهداری داده ها در حافظه پنهان است.
اتحاد Wi-Fi که استانداردهایی را برای شبکه های بی سیم توسعه می دهد، اعلام کرد که این مشکل بر تعداد محدودی از پیاده سازی های اولیه WPA3-Personal تأثیر می گذارد و می تواند از طریق یک سیستم عامل و به روز رسانی نرم افزار برطرف شود. هیچ مورد مستندی مبنی بر استفاده از آسیب پذیری برای انجام اقدامات مخرب وجود نداشته است. برای تقویت امنیت، Wi-Fi Alliance آزمایشهای بیشتری را به برنامه صدور گواهینامه دستگاههای بیسیم اضافه کرده است تا صحت پیادهسازیها را تأیید کند، و همچنین با سازندگان دستگاه تماس گرفته است تا به طور مشترک رفع مشکلات شناسایی شده را هماهنگ کنند. پچ ها قبلا برای hostap/wpa_supplicant منتشر شده اند. به روز رسانی بسته برای اوبونتو در دسترس است. Debian، RHEL، SUSE/openSUSE، Arch، Fedora و FreeBSD هنوز مشکلاتی دارند که رفع نشده اند.
منبع: opennet.ru