Mathy Vanhoef, o autor do ataque KRACK a redes sen fíos con WPA2, e Eyal Ronen, o coautor dalgúns ataques a TLS, revelaron información sobre seis vulnerabilidades (CVE-2019-9494 - CVE-2019-9499) na tecnoloxía. protección das redes sen fíos WPA3, o que lle permite recrear o contrasinal de conexión e acceder á rede sen fíos sen coñecer o contrasinal. As vulnerabilidades reciben o nome de código colectivo Dragonblood e permiten que o método de negociación de conexión Dragonfly, que ofrece protección contra adiviñar contrasinal fóra de liña, se vexa comprometido. Ademais de WPA3, o método Dragonfly tamén se usa para protexer contra as adiviñas de dicionario no protocolo EAP-pwd usado en Android, servidores RADIUS e hostapd/wpa_supplicant.
O estudo identificou dous tipos principais de problemas arquitectónicos en WPA3. Ambos tipos de problemas pódense utilizar finalmente para reconstruír o contrasinal de acceso. O primeiro tipo permítelle retroceder a métodos criptográficos pouco fiables (ataque de downgrade): ferramentas para garantir a compatibilidade con WPA2 (modo de tránsito, que permite o uso de WPA2 e WPA3) permítenlle ao atacante obrigar ao cliente a realizar a negociación da conexión en catro pasos. usado por WPA2, que permite un uso posterior dos clásicos contrasinais de ataques de forza bruta aplicables a WPA2. Ademais, identificouse a posibilidade de realizar un ataque de downgrade directamente no método de coincidencia de conexións Dragonfly, permitindo que se volva a tipos de curvas elípticas menos seguras.
O segundo tipo de problema leva á fuga de información sobre as características do contrasinal a través de canles de terceiros e baséase en fallos no método de codificación do contrasinal en Dragonfly, que permiten que datos indirectos, como cambios nos atrasos durante as operacións, poidan recrear o contrasinal orixinal. . O algoritmo de hash-to-curve de Dragonfly é susceptible de ataques de caché, e o seu algoritmo de hash-to-group é susceptible de ataques de tempo de execución (ataque de temporización).
Para realizar ataques de minería de caché, o atacante debe ser capaz de executar código sen privilexios no sistema do usuario que se conecta á rede sen fíos. Ambos métodos permiten obter a información necesaria para aclarar a elección correcta das partes do contrasinal durante o proceso de selección do contrasinal. A eficacia do ataque é bastante alta e permite adiviñar un contrasinal de 8 caracteres que inclúe minúsculas, interceptando só 40 sesións de apretón de mans e gastar recursos equivalentes a alugar a capacidade de Amazon EC2 por 125 dólares.
En función das vulnerabilidades identificadas, propuxéronse varios escenarios de ataque:
- Ataque de reversión a WPA2 coa capacidade de realizar a selección de dicionario. En ambientes nos que o cliente e o punto de acceso admiten tanto WPA3 como WPA2, un atacante podería implantar o seu propio punto de acceso deshonesto co mesmo nome de rede que só admite WPA2. En tal situación, o cliente utilizará o método de negociación de conexión característico de WPA2, durante o cal se determinará que tal retroceso é inadmisible, pero isto farase no momento no que se enviaron as mensaxes de negociación da canle e toda a información necesaria. pois xa se filtrou un ataque de dicionario. Pódese usar un método similar para retrotraer versións problemáticas de curvas elípticas en SAE.
Ademais, descubriuse que o daemon iwd, desenvolvido por Intel como alternativa a wpa_supplicant, e a pila sen fíos Samsung Galaxy S10 son susceptibles de sufrir ataques de degradación incluso en redes que usan só WPA3, se estes dispositivos estaban previamente conectados a unha rede WPA3. , intentarán conectarse a unha rede WPA2 ficticia co mesmo nome.
- Ataque de canle lateral que extrae información da caché do procesador. O algoritmo de codificación de contrasinal en Dragonfly contén ramificación condicional e un atacante, que ten a capacidade de executar o código no sistema dun usuario sen fíos, pode, baseándose nunha análise do comportamento da caché, determinar cal dos bloques de expresión if-then-else está seleccionado. A información obtida pódese utilizar para adiviñar progresivamente contrasinais mediante métodos similares aos ataques de dicionario fóra de liña contra contrasinais WPA2. Para protección, proponse pasar ao uso de operacións con tempo de execución constante, independentemente da natureza dos datos que se traten;
- Ataque de canle lateral con estimación do tempo de execución da operación. O código de Dragonfly usa múltiples grupos multiplicativos (MODP) para codificar contrasinais e un número variable de iteracións, cuxo número depende do contrasinal empregado e do enderezo MAC do punto de acceso ou cliente. Un atacante remoto pode determinar cantas iteracións se realizaron durante a codificación do contrasinal e utilizalas como indicación para adiviñar progresivamente o contrasinal.
- Chamada de denegación de servizo. Un atacante pode bloquear o funcionamento de determinadas funcións do punto de acceso debido ao esgotamento dos recursos dispoñibles enviando un gran número de solicitudes de negociación de canles de comunicación. Para evitar a protección contra inundacións proporcionada por WPA3, abonda con enviar solicitudes desde enderezos MAC ficticios que non se repiten.
- Retorno a grupos criptográficos menos seguros utilizados no proceso de negociación de conexión WPA3. Por exemplo, se un cliente admite curvas elípticas P-521 e P-256 e usa P-521 como opción prioritaria, entón o atacante, independentemente do soporte
O P-521 no lado do punto de acceso pode obrigar ao cliente a usar P-256. O ataque realízase filtrando algunhas mensaxes durante o proceso de negociación da conexión e enviando mensaxes falsas con información sobre a falta de compatibilidade con certos tipos de curvas elípticas.
Para comprobar as vulnerabilidades dos dispositivos, preparáronse varios scripts con exemplos de ataques:
- Dragonslayer - implementación de ataques a EAP-pwd;
- Dragondrain é unha utilidade para comprobar a vulnerabilidade dos puntos de acceso para detectar vulnerabilidades na implementación do método de negociación de conexión SAE (Simultaneous Authentication of Equals), que se pode usar para iniciar unha denegación de servizo;
- Dragontime - un guión para realizar un ataque de canle lateral contra SAE, tendo en conta a diferenza no tempo de procesamento das operacións cando se usan os grupos MODP 22, 23 e 24;
- Dragonforce é unha utilidade para recuperar información (adiviñar contrasinais) baseada en información sobre diferentes tempos de procesamento das operacións ou determinar a retención de datos na caché.
A Wi-Fi Alliance, que desenvolve estándares para redes sen fíos, anunciou que o problema afecta a un número limitado de primeiras implementacións de WPA3-Personal e que se pode solucionar mediante unha actualización de firmware e software. Non houbo casos documentados de vulnerabilidades utilizadas para realizar accións maliciosas. Para reforzar a seguridade, a Wi-Fi Alliance engadiu probas adicionais ao programa de certificación de dispositivos sen fíos para verificar a corrección das implementacións e tamén se comunicou cos fabricantes de dispositivos para coordinar conxuntamente as correccións dos problemas identificados. Xa se lanzaron parches para hostap/wpa_supplicant. As actualizacións de paquetes están dispoñibles para Ubuntu. Debian, RHEL, SUSE/openSUSE, Arch, Fedora e FreeBSD aínda teñen problemas sen solucionar.
Fonte: opennet.ru