Mathy Vanhoef, autor KRACK napada na bežične mreže s WPA2, i Eyal Ronen, koautor nekih napada na TLS, otkrili su informacije o šest ranjivosti (CVE-2019-9494 - CVE-2019-9499) u tehnologiji zaštita WPA3 bežičnih mreža, što vam omogućuje ponovno stvaranje lozinke za povezivanje i dobivanje pristupa bežičnoj mreži bez poznavanja lozinke. Ranjivosti su zajednički nazvane Dragonblood i omogućuju kompromitaciju Dragonfly metode pregovaranja veze, koja pruža zaštitu od izvanmrežnog pogađanja lozinke. Uz WPA3, Dragonfly metoda također se koristi za zaštitu od pogađanja rječnika u EAP-pwd protokolu koji se koristi u Androidu, RADIUS poslužiteljima i hostapd/wpa_supplicant.
Studija je identificirala dvije glavne vrste arhitektonskih problema u WPA3. Obje vrste problema mogu se u konačnici koristiti za rekonstrukciju pristupne lozinke. Prva vrsta omogućuje vraćanje na nepouzdane kriptografske metode (napad na nižu verziju): alati za osiguravanje kompatibilnosti s WPA2 (tranzitni način rada, dopuštajući upotrebu WPA2 i WPA3) omogućuju napadaču da prisili klijenta da izvede pregovore o povezivanju u četiri koraka koristi WPA2, što dopušta daljnju upotrebu lozinki klasičnih brute-force napada primjenjivih na WPA2. Osim toga, identificirana je mogućnost izvođenja napada na nižu verziju izravno na metodu usklađivanja veze Dragonfly, što omogućuje vraćanje na manje sigurne vrste eliptičkih krivulja.
Druga vrsta problema dovodi do curenja informacija o karakteristikama lozinke kroz kanale trećih strana i temelji se na nedostacima u metodi kodiranja lozinke u Dragonflyju, koji dopušta neizravnim podacima, kao što su promjene u kašnjenjima tijekom operacija, ponovno stvaranje izvorne lozinke . Dragonflyjev algoritam hash-to-curve osjetljiv je na napade predmemorije, a njegov algoritam hash-to-group osjetljiv je na vremenske napade izvršavanja (vremenski napad).
Da bi izvršio napade rudarenja predmemorije, napadač mora moći izvršiti nepovlašteni kod na sustavu korisnika koji se spaja na bežičnu mrežu. Obje metode omogućuju dobivanje informacija potrebnih za pojašnjenje pravilnog odabira dijelova lozinke tijekom procesa odabira lozinke. Učinkovitost napada je prilično visoka i omogućuje vam da pogodite lozinku od 8 znakova koja uključuje mala slova, presretanje samo 40 sesija rukovanja i trošenje resursa jednako najmu kapaciteta Amazon EC2 za 125 USD.
Na temelju identificiranih ranjivosti, predloženo je nekoliko scenarija napada:
- Vraćanje napada na WPA2 s mogućnošću odabira rječnika. U okruženjima u kojima klijent i pristupna točka podržavaju i WPA3 i WPA2, napadač bi mogao postaviti vlastitu lažnu pristupnu točku s istim nazivom mreže koja podržava samo WPA2. U takvoj situaciji klijent će koristiti metodu pregovaranja o povezivanju karakterističnu za WPA2, tijekom koje će se utvrditi da je takvo vraćanje nedopušteno, ali će to biti učinjeno u fazi kada su poslane poruke pregovaranja kanala i sve potrebne informacije jer je napad rječnikom već procurio. Slična metoda može se koristiti za vraćanje problematičnih verzija eliptičkih krivulja u SAE.
Osim toga, otkriveno je da su iwd demon, koji je razvio Intel kao alternativu wpa_supplicantu, i bežični skup Samsung Galaxy S10 osjetljivi na napade na stariju verziju čak i u mrežama koje koriste samo WPA3 - ako su ti uređaji prethodno bili spojeni na WPA3 mrežu , pokušat će se spojiti na lažnu WPA2 mrežu s istim imenom.
- Napad bočnog kanala koji izvlači informacije iz predmemorije procesora. Algoritam za kodiranje lozinke u Dragonflyu sadrži uvjetno grananje i napadač, koji ima mogućnost izvršavanja koda na bežičnom korisničkom sustavu, može, na temelju analize ponašanja predmemorije, odrediti koji je od blokova izraza if-then-else odabran. Dobivene informacije mogu se koristiti za izvođenje progresivnog pogađanja zaporke korištenjem metoda sličnih izvanmrežnim napadima rječnikom na WPA2 zaporke. Za zaštitu se predlaže prijelaz na korištenje operacija s konstantnim vremenom izvršenja, neovisno o prirodi podataka koji se obrađuju;
- Napad s bočnim kanalom s procjenom vremena izvršenja operacije. Dragonflyjev kod koristi više multiplikativnih grupa (MODP) za kodiranje lozinki i promjenjivi broj ponavljanja, čiji broj ovisi o korištenoj lozinci i MAC adresi pristupne točke ili klijenta. Udaljeni napadač može odrediti koliko je iteracija izvršeno tijekom kodiranja zaporke i koristiti ih kao indikaciju za progresivno pogađanje zaporke.
- Poziv uskraćivanja usluge. Napadač može blokirati rad pojedinih funkcija pristupne točke zbog iscrpljenosti raspoloživih resursa slanjem velikog broja zahtjeva za pregovaranje komunikacijskog kanala. Da biste zaobišli zaštitu od poplave koju pruža WPA3, dovoljno je poslati zahtjeve s fiktivnih MAC adresa koje se ne ponavljaju.
- Povratak na manje sigurne kriptografske grupe koje se koriste u procesu pregovaranja WPA3 veze. Na primjer, ako klijent podržava eliptičke krivulje P-521 i P-256, a koristi P-521 kao opciju prioriteta, tada napadač, bez obzira na podršku
P-521 na strani pristupne točke može prisiliti klijenta da koristi P-256. Napad se izvodi filtriranjem nekih poruka tijekom procesa pregovaranja o povezivanju i slanjem lažnih poruka s informacijama o nedostatku podrške za određene vrste eliptičnih krivulja.
Za provjeru ranjivosti uređaja pripremljeno je nekoliko skripti s primjerima napada:
- Dragonslayer - provedba napada na EAP-pwd;
- Dragondrain je uslužni program za provjeru ranjivosti pristupnih točaka na ranjivosti u implementaciji SAE (Simultaneous Authentication of Equals) metode pregovaranja veze, koja se može koristiti za iniciranje odbijanja usluge;
- Dragontime - skripta za provođenje napada bočnog kanala protiv SAE, uzimajući u obzir razliku u vremenu obrade operacija pri korištenju MODP grupa 22, 23 i 24;
- Dragonforce je uslužni program za vraćanje informacija (pogađanje lozinke) na temelju informacija o različitim vremenima obrade operacija ili utvrđivanja zadržavanja podataka u predmemoriji.
Wi-Fi Alliance, koji razvija standarde za bežične mreže, objavio je da problem utječe na ograničeni broj ranih implementacija WPA3-Personal i da se može popraviti ažuriranjem firmvera i softvera. Nije bilo dokumentiranih slučajeva korištenja ranjivosti za izvođenje zlonamjernih radnji. Kako bi ojačao sigurnost, Wi-Fi Alliance je dodao dodatne testove programu certificiranja bežičnih uređaja kako bi provjerio ispravnost implementacija, a također se obratio proizvođačima uređaja kako bi zajednički koordinirali popravke za identificirane probleme. Zakrpe su već objavljene za hostap/wpa_supplicant. Ažuriranja paketa dostupna su za Ubuntu. Debian, RHEL, SUSE/openSUSE, Arch, Fedora i FreeBSD još uvijek imaju neriješene probleme.
Izvor: opennet.ru