Mathy Vanhoef, de skriuwer fan 'e KRACK-oanfal op draadloze netwurken mei WPA2, en Eyal Ronen, de mei-auteur fan guon oanfallen op TLS, iepenbiere ynformaasje oer seis kwetsberens (CVE-2019-9494 - CVE-2019-9499) yn 'e technology beskerming fan WPA3-draadloze netwurken, wêrtroch jo it ferbiningswachtwurd opnij kinne oanmeitsje en tagong krije ta it draadloze netwurk sûnder it wachtwurd te witten. De kwetsberens wurde kollektyf koadenamme Dragonblood en kinne de ûnderhannelingsmetoade fan Dragonfly-ferbining, dy't beskerming biedt tsjin it rieden fan offline wachtwurden, kompromitteare. Njonken WPA3 wurdt de Dragonfly-metoade ek brûkt om te beskermjen tsjin wurdboekrieden yn it EAP-pwd-protokol brûkt yn Android, RADIUS-tsjinners en hostapd/wpa_supplicant.
De stúdzje identifisearre twa haadtypen fan arsjitektoanyske problemen yn WPA3. Beide soarten problemen kinne úteinlik brûkt wurde om it tagongswachtwurd te rekonstruearjen. It earste type lit jo weromdraaie nei ûnbetroubere kryptografyske metoaden (oanfal downgrade): ark foar it garandearjen fan kompatibiliteit mei WPA2 (transitmodus, wêrtroch it gebrûk fan WPA2 en WPA3 mooglik makket) kinne de oanfaller de kliïnt twinge om de fjouwer-stap ferbining ûnderhanneling út te fieren brûkt troch WPA2, wat fierder gebrûk makket fan klassike brute-force-oanfallen wachtwurden fan tapassing op WPA2. Dêrneist is de mooglikheid fan it útfieren fan in downgrade oanfal direkt op de Dragonfly ferbining matching metoade is identifisearre, sadat in roll werom nei minder feilige soarten elliptyske bochten.
It twadde type probleem liedt ta it lekken fan ynformaasje oer wachtwurdkarakteristiken fia kanalen fan tredden en is basearre op gebreken yn 'e wachtwurdkodearjen metoade yn Dragonfly, wêrtroch yndirekte gegevens, lykas feroaringen yn fertragingen tidens operaasjes, it orizjinele wachtwurd kinne opnij oanmeitsje . Dragonfly's hash-to-curve-algoritme is gefoelich foar cache-oanfallen, en har hash-to-group-algoritme is gefoelich foar útfieringstiid oanfallen operaasjes (timing oanfal).
Om cache-mining-oanfallen út te fieren, moat de oanfaller unprivilegearre koade kinne útfiere op it systeem fan 'e brûker dy't ferbine mei it draadloze netwurk. Beide metoaden meitsje it mooglik om de ynformaasje te krijen dy't nedich is om de juste kar fan dielen fan it wachtwurd te ferdúdlikjen tidens it proses fan seleksje fan wachtwurden. De effektiviteit fan 'e oanfal is frij heech en lit jo in wachtwurd fan 8 tekens riede dat lytse letters omfettet, allinich 40 handshake-sesjes ûnderskeppe en boarnen útjaan dy't lykweardich binne oan it hieren fan Amazon EC2-kapasiteit foar $ 125.
Op grûn fan de identifisearre kwetsberens binne ferskate oanfalssenario's foarsteld:
- Rollback oanfal op WPA2 mei de mooglikheid om wurdboek seleksje út te fieren. Yn omjouwings wêr't de kliïnt en tagongspunt sawol WPA3 as WPA2 stypje, koe in oanfaller har eigen rogue tagongspunt ynsette mei deselde netwurknamme dy't allinich WPA2 stipet. Yn sa'n situaasje sil de kliïnt de ferbiningsûnderhannelingsmetoade brûke dy't karakteristyk is foar WPA2, wêrby't wurdt bepaald dat sa'n weromdraaien net akseptabel is, mar dit sil dien wurde op it poadium dat berjochten foar kanaalûnderhanneling binne ferstjoerd en alle ynformaasje nedich want in wurdboek oanfal is al útlekt. In ferlykbere metoade kin brûkt wurde om problematyske ferzjes fan elliptyske krommes yn SAE werom te draaien.
Derneist waard ûntdutsen dat de iwd-daemon, ûntwikkele troch Intel as alternatyf foar wpa_supplicant, en de Samsung Galaxy S10 draadloze stack binne gefoelich foar downgrade oanfallen sels yn netwurken dy't allinich WPA3 brûke - as dizze apparaten earder ferbûn wiene mei in WPA3-netwurk , sille se besykje te ferbinen mei in dummy WPA2-netwurk mei deselde namme.
- Side-kanaal oanfal dy't ynformaasje út 'e prosessor-cache ekstrakt. It wachtwurdkodearjen algoritme yn Dragonfly befettet betingst fertakking en in oanfaller, dy't de mooglikheid hat om de koade út te fieren op it systeem fan in draadloze brûker, kin, basearre op in analyze fan cachegedrach, bepale hokker fan 'e as-dan-oars ekspresjeblokken wurdt selektearre. De krigen ynformaasje kin brûkt wurde om progressive wachtwurd rieden út te fieren mei metoaden fergelykber mei offline wurdboekoanfallen op WPA2-wachtwurden. Foar beskerming wurdt foarsteld om te wikseljen nei it brûken fan operaasjes mei konstante útfieringstiid, ûnôfhinklik fan 'e aard fan' e gegevens dy't ferwurke wurde;
- Side-kanaal oanfal mei skatting fan operaasje útfiering tiid. De koade fan Dragonfly brûkt meardere multiplikative groepen (MODP) om wachtwurden en in fariabele oantal iteraasjes te kodearjen, wêrfan it oantal hinget ôf fan it brûkte wachtwurd en it MAC-adres fan it tagongspunt of kliïnt. In oanfaller op ôfstân kin bepale hoefolle iteraasjes waarden útfierd tidens wachtwurdkodearring en brûke se as in yndikaasje foar progressive rieden fan wachtwurden.
- Denial of tsjinst oprop. In oanfaller kin blokkearje de wurking fan bepaalde funksjes fan it tagong punt fanwege de útputting fan beskikbere middels troch it stjoeren fan in grut oantal kommunikaasje kanaal ûnderhanneling fersiken. Om de oerstreamingsbeskerming troch WPA3 te omgean, is it genôch om fersiken te stjoeren fan fiktive, net-werheljende MAC-adressen.
- Fallback nei minder feilige kryptografyske groepen brûkt yn it WPA3-ferbiningsûnderhannelingsproses. Bygelyks, as in kliïnt elliptyske krommes P-521 en P-256 stipet, en P-521 brûkt as de prioriteitsopsje, dan is de oanfaller, nettsjinsteande stipe
P-521 oan 'e kant fan it tagongspunt kin de kliïnt twinge om P-256 te brûken. De oanfal wurdt útfierd troch it filterjen fan guon berjochten yn 'e ferbiningsûnderhannelingsproses en it ferstjoeren fan falske berjochten mei ynformaasje oer it gebrek oan stipe foar bepaalde soarten elliptyske bochten.
Om apparaten te kontrolearjen op kwetsberens, binne ferskate skripts taret mei foarbylden fan oanfallen:
- Dragonslayer - ymplemintaasje fan oanfallen op EAP-pwd;
- Dragondrain is in helpmiddel foar in kontrolearjen de kwetsberens fan tagong punten foar kwetsberens yn de útfiering fan de SAE (Simultaneous Authentication of Equals) ferbining ûnderhanneling metoade, dat kin brûkt wurde om te begjinnen in ûntkenning fan tsjinst;
- Dragontime - in skript foar it útfieren fan in side-kanaal oanfal tsjin SAE, rekken hâldend mei it ferskil yn ferwurkjen tiid fan operaasjes by it brûken fan MODP groepen 22, 23 en 24;
- Dragonforce is in helpmiddel foar it herstellen fan ynformaasje (wachtwurd rieden) basearre op ynformaasje oer ferskate ferwurkingstiden fan operaasjes of it fêststellen fan it behâld fan gegevens yn 'e cache.
De Wi-Fi Alliance, dy't noarmen foar draadloze netwurken ûntwikkelet, kundige oan dat it probleem ynfloed hat op in beheind oantal iere ymplemintaasjes fan WPA3-Personal en kin wurde reparearre troch in firmware- en software-update. D'r binne gjin dokuminteare gefallen west fan kwetsberens dy't wurde brûkt om kweade aksjes út te fieren. Om feiligens te fersterkjen, hat de Wi-Fi Alliance ekstra tests tafoege oan it sertifikaasjeprogramma foar draadloze apparaten om de krektens fan ymplemintaasjes te ferifiearjen, en hat ek apparaatfabrikanten berikt om tegearre fixes te koördinearjen foar identifisearre problemen. Patches binne al frijjûn foar hostap/wpa_supplicant. Pakketupdates binne beskikber foar Ubuntu. Debian, RHEL, SUSE/openSUSE, Arch, Fedora en FreeBSD hawwe noch problemen net reparearre.
Boarne: opennet.ru