Vulnerabilidades na tecnoloxía de seguridade de redes sen fíos WPA3 e EAP-pwd

Mathy Vanhoef, autor do ataque KRACK ás redes sen fíos WPA2, e Eyal Ronen, coautor de varios ataques a TLS, revelaron detalles de seis vulnerabilidades (CVE-2019-9494 - CVE-2019-9499) na tecnoloxía de seguridade de redes sen fíos WPA3 que permiten a alguén recrear o contrasinal de conexión e acceder á rede sen fíos sen coñecelo. As vulnerabilidades, co nome en clave Dragonblood, permiten comprometer o método de handshake Dragonfly, que proporciona protección contra a adiviñación de contrasinais sen conexión. Ademais de WPA3, o método Dragonfly tamén se usa para protexer contra ataques de dicionario no protocolo EAP-pwd, usado en Android, servidores RADIUS e en hostapd/wpa_supplicant.

O estudo identificou dous tipos principais de problemas arquitectónicos en WPA3. Ambos tipos de problemas pódense utilizar finalmente para reconstruír o contrasinal de acceso. O primeiro tipo permítelle retroceder a métodos criptográficos pouco fiables (ataque de downgrade): ferramentas para garantir a compatibilidade con WPA2 (modo de tránsito, que permite o uso de WPA2 e WPA3) permítenlle ao atacante obrigar ao cliente a realizar a negociación da conexión en catro pasos. usado por WPA2, que permite un uso posterior dos clásicos contrasinais de ataques de forza bruta aplicables a WPA2. Ademais, identificouse a posibilidade de realizar un ataque de downgrade directamente no método de coincidencia de conexións Dragonfly, permitindo que se volva a tipos de curvas elípticas menos seguras.

O segundo tipo de problema leva á fuga de información sobre as características do contrasinal a través de canles de terceiros e baséase en fallos no método de codificación do contrasinal en Dragonfly, que permiten que datos indirectos, como cambios nos atrasos durante as operacións, poidan recrear o contrasinal orixinal. . O algoritmo de hash-to-curve de Dragonfly é susceptible de ataques de caché, e o seu algoritmo de hash-to-group é susceptible de ataques de tempo de execución (ataque de temporización).

Para realizar ataques de minería de caché, o atacante debe ser capaz de executar código sen privilexios no sistema do usuario que se conecta á rede sen fíos. Ambos métodos permiten obter a información necesaria para aclarar a elección correcta das partes do contrasinal durante o proceso de selección do contrasinal. A eficacia do ataque é bastante alta e permite adiviñar un contrasinal de 8 caracteres que inclúe minúsculas, interceptando só 40 sesións de apretón de mans e gastar recursos equivalentes a alugar a capacidade de Amazon EC2 por 125 dólares.

En función das vulnerabilidades identificadas, propuxéronse varios escenarios de ataque:

  • Ataque de reversión a WPA2 coa capacidade de realizar a selección de dicionario. En ambientes nos que o cliente e o punto de acceso admiten tanto WPA3 como WPA2, un atacante podería implantar o seu propio punto de acceso deshonesto co mesmo nome de rede que só admite WPA2. En tal situación, o cliente utilizará o método de negociación de conexión característico de WPA2, durante o cal se determinará que tal retroceso é inadmisible, pero isto farase no momento no que se enviaron as mensaxes de negociación da canle e toda a información necesaria. pois xa se filtrou un ataque de dicionario. Pódese usar un método similar para retrotraer versións problemáticas de curvas elípticas en SAE.

    Ademais, descubriuse que o daemon iwd, desenvolvido por Intel como alternativa a wpa_supplicant, e a pila sen fíos Samsung Galaxy S10 son susceptibles de sufrir ataques de degradación incluso en redes que usan só WPA3, se estes dispositivos estaban previamente conectados a unha rede WPA3. , intentarán conectarse a unha rede WPA2 ficticia co mesmo nome.

  • Ataque de canle lateral que extrae información da caché do procesador. O algoritmo de codificación de contrasinal en Dragonfly contén ramificación condicional e un atacante, que ten a capacidade de executar o código no sistema dun usuario sen fíos, pode, baseándose nunha análise do comportamento da caché, determinar cal dos bloques de expresión if-then-else está seleccionado. A información obtida pódese utilizar para adiviñar progresivamente contrasinais mediante métodos similares aos ataques de dicionario fóra de liña contra contrasinais WPA2. Para protección, proponse pasar ao uso de operacións con tempo de execución constante, independentemente da natureza dos datos que se traten;
  • Ataque de canle lateral con estimación do tempo de execución da operación. O código de Dragonfly usa múltiples grupos multiplicativos (MODP) para codificar contrasinais e un número variable de iteracións, cuxo número depende do contrasinal empregado e do enderezo MAC do punto de acceso ou cliente. Un atacante remoto pode determinar cantas iteracións se realizaron durante a codificación do contrasinal e utilizalas como indicación para adiviñar progresivamente o contrasinal.
  • Chamada de denegación de servizo. Un atacante pode bloquear o funcionamento de determinadas funcións do punto de acceso debido ao esgotamento dos recursos dispoñibles enviando un gran número de solicitudes de negociación de canles de comunicación. Para evitar a protección contra inundacións proporcionada por WPA3, abonda con enviar solicitudes desde enderezos MAC ficticios que non se repiten.
  • Retorno a grupos criptográficos menos seguros utilizados no proceso de negociación de conexión WPA3. Por exemplo, se un cliente admite curvas elípticas P-521 e P-256 e usa P-521 como opción prioritaria, entón o atacante, independentemente do soporte
    O P-521 no lado do punto de acceso pode obrigar ao cliente a usar P-256. O ataque realízase filtrando algunhas mensaxes durante o proceso de negociación da conexión e enviando mensaxes falsas con información sobre a falta de compatibilidade con certos tipos de curvas elípticas.

Para comprobar as vulnerabilidades dos dispositivos, preparáronse varios scripts con exemplos de ataques:

  • Dragonslayer - implementación de ataques a EAP-pwd;
  • Dragondrain é unha utilidade para comprobar a vulnerabilidade dos puntos de acceso para detectar vulnerabilidades na implementación do método de negociación de conexión SAE (Simultaneous Authentication of Equals), que se pode usar para iniciar unha denegación de servizo;
  • Dragontime - un guión para realizar un ataque de canle lateral contra SAE, tendo en conta a diferenza no tempo de procesamento das operacións cando se usan os grupos MODP 22, 23 e 24;
  • Dragonforce é unha utilidade para recuperar información (adiviñar contrasinais) baseada en información sobre diferentes tempos de procesamento das operacións ou determinar a retención de datos na caché.

A Wi-Fi Alliance, que desenvolve estándares de redes sen fíos, anunciou que o problema afecta a un número limitado de implementacións temperás de WPA3-Personal e que se pode solucionar mediante actualizacións de firmware e software. Aínda non se detectaron ataques maliciosos. Para reforzar a seguridade, a Wi-Fi Alliance engadiu probas adicionais ao seu programa de certificación de dispositivos sen fíos para verificar a corrección das implementacións e contactou cos fabricantes de dispositivos para coordinar a resolución dos problemas identificados. Xa se lanzaron parches que solucionan os problemas para hostap/wpa_supplicant. Hai actualizacións de paquetes dispoñibles para Ubuntu. En Debian, os problemas de RHEL, SUSE/openSUSE, Arch, Fedora e FreeBSD seguen sen solucionarse.

Fonte: opennet.ru

Compre hospedaxe fiable para sitios con protección DDoS, servidores VPS VDS 🔥 Compra aloxamento web fiable con protección DDoS, servidores VPS VDS | ProHoster