WPA2:lla langattomiin verkkoihin kohdistuneen KRACK-hyökkäyksen kirjoittaja Mathy Vanhoef ja joidenkin TLS-hyökkäysten kirjoittaja Eyal Ronen paljastivat tietoja kuudesta tekniikan haavoittuvuudesta (CVE-2019-9494 - CVE-2019-9499). langattomien WPA3-verkkojen suojaus, jonka avulla voit luoda yhteyden salasanan uudelleen ja päästä langattomaan verkkoon ilman salasanaa. Haavoittuvuudet ovat yhteisnimellä Dragonblood, ja ne mahdollistavat Dragonfly-yhteysneuvottelumenetelmän, joka tarjoaa suojan offline-salasanojen arvailua vastaan, vaarantumisen. WPA3:n lisäksi Dragonfly-menetelmää käytetään suojautumaan sanakirjan arvailulta myös Androidissa, RADIUS-palvelimissa ja hostapd/wpa_supplicantissa käytetyssä EAP-pwd-protokollassa.
Tutkimuksessa tunnistettiin kaksi päätyyppiä WPA3:n arkkitehtonisia ongelmia. Molempia ongelmia voidaan viime kädessä käyttää pääsysalasanan rekonstruoimiseen. Ensimmäisen tyypin avulla voit palata epäluotettaviin salausmenetelmiin (downgrade-hyökkäys): työkalut, jotka varmistavat yhteensopivuuden WPA2:n kanssa (siirtotila, mahdollistavat WPA2:n ja WPA3:n käytön), antavat hyökkääjän pakottaa asiakkaan suorittamaan nelivaiheisen yhteysneuvottelun. käyttää WPA2, mikä mahdollistaa klassisten WPA2:een soveltuvien brute-force-hyökkäyssalasanojen käytön. Lisäksi on tunnistettu mahdollisuus suorittaa alennushyökkäys suoraan Dragonfly-yhteyssovitusmenetelmään, jolloin voidaan palata vähemmän turvallisiin elliptisiin käyriin.
Toisen tyyppinen ongelma johtaa salasanan ominaisuuksia koskevien tietojen vuotamiseen kolmannen osapuolen kanavien kautta ja perustuu Dragonflyn salasanan koodausmenetelmän puutteisiin, jotka mahdollistavat epäsuorien tietojen, kuten toimintojen aikaisten viiveiden muutoksen, luoda alkuperäisen salasanan uudelleen. . Dragonflyn hash-to-curve-algoritmi on herkkä välimuistihyökkäyksille, ja sen hash-to-group-algoritmi on altis suoritusaikahyökkäyksille.
Suorittaakseen välimuistin louhintahyökkäyksiä hyökkääjän on kyettävä suorittamaan oikeudetonta koodia langattomaan verkkoon yhdistävän käyttäjän järjestelmässä. Molemmat menetelmät mahdollistavat tarvittavien tietojen saamisen salasanan osien oikean valinnan selventämiseksi salasanan valintaprosessin aikana. Hyökkäyksen tehokkuus on melko korkea ja antaa sinun arvata 8-merkkisen salasanan, joka sisältää pieniä kirjaimia, siepata vain 40 kättelyä ja kuluttaa resursseja, jotka vastaavat Amazon EC2 -kapasiteetin vuokraamista 125 dollarilla.
Tunnistettujen haavoittuvuuksien perusteella on ehdotettu useita hyökkäysskenaarioita:
- Palautushyökkäys WPA2:lle ja mahdollisuus valita sanakirja. Ympäristöissä, joissa asiakas ja tukiasema tukevat sekä WPA3:ta että WPA2:ta, hyökkääjä voi ottaa käyttöön oman huijaustukiasemansa samalla verkkonimellä, joka tukee vain WPA2:ta. Tällaisessa tilanteessa asiakas käyttää WPA2:lle ominaista yhteydenneuvottelumenetelmää, jonka aikana todetaan, ettei tällainen peruutus ole sallittu, mutta tämä tehdään siinä vaiheessa, kun kanavaneuvotteluviestit on lähetetty ja kaikki tarvittavat tiedot on lähetetty. sillä sanakirjahyökkäys on jo vuotanut. Samanlaista menetelmää voidaan käyttää elliptisten käyrien ongelmallisten versioiden palauttamiseen SAE:ssä.
Lisäksi havaittiin, että Intelin vaihtoehtona wpa_supplicantille kehittämä iwd-daemon ja langaton Samsung Galaxy S10 -pino ovat alttiita downgrade-hyökkäyksille jopa vain WPA3:a käyttävissä verkoissa - jos nämä laitteet oli aiemmin yhdistetty WPA3-verkkoon. , he yrittävät muodostaa yhteyden vale-WPA2-verkkoon, jolla on sama nimi.
- Sivukanavahyökkäys, joka poimii tietoja prosessorin välimuistista. Dragonflyn salasanan koodausalgoritmi sisältää ehdollisen haarautumisen, ja hyökkääjä, joka pystyy suorittamaan koodin langattoman käyttäjän järjestelmässä, voi välimuistin käyttäytymisen analyysin perusteella määrittää, mikä jos-niin-else-lausekelohkoista on valittu. Saatuja tietoja voidaan käyttää progressiiviseen salasanan arvaukseen käyttämällä menetelmiä, jotka ovat samankaltaisia kuin offline-sanakirjahyökkäykset WPA2-salasanoihin. Suojauksen vuoksi ehdotetaan siirtymistä sellaisiin toimintoihin, joiden suoritusaika on jatkuva, käsiteltävien tietojen luonteesta riippumatta;
- Sivukanavan hyökkäys arvioimalla toiminnan suoritusaikaa. Dragonflyn koodi käyttää useita kertovia ryhmiä (MODP) salasanojen koodaamiseen ja vaihtelevaan määrään iteraatioita, joiden määrä riippuu käytetystä salasanasta ja tukiaseman tai asiakkaan MAC-osoitteesta. Etähyökkääjä voi määrittää, kuinka monta iteraatiota salasanan koodauksen aikana suoritettiin, ja käyttää niitä osoittimena progressiiviseen salasanan arvaukseen.
- Palvelun epääminen puhelu. Hyökkääjä voi estää tiettyjen tukiaseman toimintojen toiminnan käytettävissä olevien resurssien loppumisen vuoksi lähettämällä suuren määrän viestintäkanavan neuvottelupyyntöjä. WPA3:n tarjoaman tulvasuojan ohittamiseksi riittää pyyntöjen lähettäminen kuvitteellisista, ei-toistuvista MAC-osoitteista.
- Varatakaisin WPA3-yhteysneuvotteluprosessissa käytettyihin vähemmän turvallisiin salausryhmiin. Jos asiakas esimerkiksi tukee elliptisiä käyriä P-521 ja P-256 ja käyttää P-521:tä prioriteettivaihtoehtona, hyökkääjä tuesta riippumatta
P-521 tukiaseman puolella voi pakottaa asiakkaan käyttämään P-256:ta. Hyökkäys toteutetaan suodattamalla joitakin viestejä yhteysneuvotteluprosessin aikana ja lähettämällä vääriä viestejä, joissa on tietoa tietyntyyppisten elliptisten käyrien tuen puutteesta.
Laitteiden haavoittuvuuksien tarkistamiseksi on valmistettu useita skriptejä, joissa on esimerkkejä hyökkäyksistä:
- Dragonslayer - hyökkäysten toteuttaminen EAP-pwd:tä vastaan;
- Dragondrain on apuohjelma pääsypisteiden haavoittuvuuksien tarkistamiseen SAE (Simultaneous Authentication of Equals) -yhteysneuvottelumenetelmän toteutuksen haavoittuvuuksien varalta, jota voidaan käyttää palveluneston käynnistämiseen;
- Dragontime - komentosarja sivukanavahyökkäyksen suorittamiseksi SAE:tä vastaan, ottaen huomioon toimintojen käsittelyajan erot, kun käytetään MODP-ryhmiä 22, 23 ja 24;
- Dragonforce on apuohjelma tietojen palauttamiseen (salasanan arvaamiseen) toimintojen eri käsittelyaikojen tietojen perusteella tai tietojen säilymisen määrittämiseen välimuistissa.
Wi-Fi Alliance, joka kehittää standardeja langattomille verkoille, ilmoitti, että ongelma koskee rajoitettua määrää WPA3-Personalin varhaisia toteutuksia, ja se voidaan korjata laiteohjelmisto- ja ohjelmistopäivityksellä. Vielä ei ole havaittu tapauksia, joissa haavoittuvuuksia olisi käytetty hyväksi haitallisiin toimiin. Turvallisuuden vahvistamiseksi Wi-Fi Alliance lisäsi langattomien laitteiden sertifiointiohjelmaan lisätestejä toteutusten oikeellisuuden varmistamiseksi ja otti myös yhteyttä laitevalmistajiin koordinoidakseen yhdessä havaittujen ongelmien ratkaisemista. Korjaukset on jo julkaistu hostap/wpa_supplicantille. Pakettipäivitykset ovat saatavilla Ubuntuun. Debian, RHEL, SUSE/openSUSE, Arch, Fedora ja FreeBSD ovat edelleen korjaamattomia.
Lähde: opennet.ru