Mathy Vanhoef, a WPA2 vezeték nélküli hálózatok elleni KRACK támadás szerzője, és Eyal Ronen, számos TLS elleni támadás társszerzője, hat sebezhetőség (CVE-2019-9494 - CVE-2019-9499) részleteit hozták nyilvánosságra a WPA3 vezeték nélküli hálózati biztonsági technológiában, amelyek lehetővé teszik, hogy valaki újra létrehozza a csatlakozási jelszót, és a jelszó ismerete nélkül hozzáférjen a vezeték nélküli hálózathoz. A Dragonblood kódnevű sebezhetőségek lehetővé teszik a Dragonfly kézfogási módszerének feltörését, amely védelmet nyújt az offline jelszó-találgatás ellen. A WPA3 mellett a Dragonfly módszert az EAP-pwd protokollban található szótáras támadások elleni védelemre is használják, amelyet a következőkben használnak: Android, RADIUS szervereken és a hostapd/wpa_supplicant fájlban.
A tanulmány két fő típusú építészeti problémát azonosított a WPA3-ban. Mindkét típusú probléma felhasználható a hozzáférési jelszó rekonstruálására. Az első típus lehetővé teszi a megbízhatatlan kriptográfiai módszerek visszaállítását (downgrade támadás): a WPA2-vel való kompatibilitást biztosító eszközök (tranzit mód, amely lehetővé teszi a WPA2 és WPA3 használatát) lehetővé teszik a támadó számára, hogy rákényszerítse az ügyfelet a négylépcsős kapcsolategyeztetés végrehajtására. a WPA2 használja, amely lehetővé teszi a WPA2-re vonatkozó klasszikus brute-force támadási jelszavak további használatát. Ezen túlmenően azonosították annak lehetőségét, hogy leminősítési támadást hajtsanak végre közvetlenül a Dragonfly kapcsolatillesztési módszerrel, lehetővé téve a visszalépést a kevésbé biztonságos elliptikus görbékhez.
A második típusú probléma a jelszavak jellemzőire vonatkozó információk kiszivárgásához vezet harmadik felek csatornáin keresztül, és a Dragonfly jelszókódolási módszerének hibáin alapul, amelyek lehetővé teszik a közvetett adatok, például a műveletek során bekövetkező késések változása miatt az eredeti jelszó újbóli létrehozását. . A Dragonfly hash-to-curve algoritmusa érzékeny a gyorsítótár-támadásokra, a hash-to-group algoritmusa pedig fogékony a végrehajtási idővel kapcsolatos támadásokra.
A gyorsítótár-bányászati támadások végrehajtásához a támadónak képesnek kell lennie arra, hogy jogosultság nélküli kódot hajtson végre a vezeték nélküli hálózathoz csatlakozó felhasználó rendszerén. Mindkét módszer lehetővé teszi a jelszóválasztási folyamat során a jelszó egyes részeinek helyes megválasztásának tisztázásához szükséges információk megszerzését. A támadás hatékonysága meglehetősen magas, és lehetővé teszi, hogy kitaláljon egy 8 karakterből álló jelszót, amely kisbetűket is tartalmaz, mindössze 40 kézfogást lehallgatva, és erőforrások elköltése megegyezik az Amazon EC2 kapacitásának 125 dolláros bérlésével.
Az azonosított sebezhetőségek alapján több támadási forgatókönyvet javasoltak:
- Rollback támadás a WPA2 ellen szótárkiválasztás lehetőségével. Azokban a környezetekben, ahol az ügyfél és a hozzáférési pont támogatja a WPA3-at és a WPA2-t is, a támadó saját csaló hozzáférési pontját telepítheti ugyanazzal a hálózatnévvel, amely csak a WPA2-t támogatja. Ilyen helyzetben a kliens a WPA2-re jellemző kapcsolat-egyeztetési módszert alkalmazza, amely során megállapítja, hogy az ilyen visszaállítás nem megengedett, de ez abban a szakaszban történik meg, amikor a csatorna egyeztető üzenetek elküldésre kerültek és minden szükséges információ megérkezett. mert már kiszivárgott egy szótártámadás. Hasonló módszer használható az elliptikus görbék problémás változatainak visszagörgetésére SAE-ben.
Ezenkívül felfedezték, hogy az Intel által a wpa_supplicant alternatívájaként kifejlesztett iwd démon és a Samsung Galaxy S10 vezeték nélküli stack még a csak WPA3-at használó hálózatokon is érzékeny a leminősítési támadásokra – ha ezek az eszközök korábban WPA3 hálózathoz csatlakoztak. , megpróbálnak csatlakozni egy azonos nevű ál WPA2 hálózathoz.
- Oldalsó csatornás támadás, amely információkat nyer ki a processzor gyorsítótárából. A Dragonfly jelszókódoló algoritmusa feltételes elágazást tartalmaz, és a támadó, aki képes a kódot a vezeték nélküli felhasználó rendszerén végrehajtani, a gyorsítótár viselkedésének elemzése alapján meghatározhatja, hogy az if-then-else kifejezésblokkok közül melyik legyen kiválasztva. A megszerzett információk felhasználhatók progresszív jelszókitalálásra a WPA2 jelszavak elleni offline szótári támadásokhoz hasonló módszerekkel. A védelem érdekében javasolt áttérni az állandó végrehajtási idejű műveletekre, függetlenül a feldolgozott adatok jellegétől;
- Oldalcsatornás támadás a művelet végrehajtási idejének becslésével. A Dragonfly kódja több multiplikatív csoportot (MODP) használ a jelszavak és változó számú iteráció kódolására, amelyek száma a használt jelszótól és a hozzáférési pont vagy kliens MAC-címétől függ. A távoli támadók meghatározhatják, hogy hány iterációt hajtottak végre a jelszókódolás során, és ezeket jelzésként használhatja a progresszív jelszókitaláláshoz.
- Szolgáltatásmegtagadási hívás. A támadó a hozzáférési pont bizonyos funkcióinak működését blokkolhatja a rendelkezésre álló erőforrások kimerülése miatt, ha nagyszámú kommunikációs csatorna egyeztetési kérést küld. A WPA3 által biztosított árvízvédelem megkerüléséhez elegendő fiktív, nem ismétlődő MAC-címekről kéréseket küldeni.
- Visszatérés a WPA3 kapcsolat egyeztetési folyamatában használt kevésbé biztonságos kriptográfiai csoportokhoz. Például, ha egy kliens támogatja a P-521 és P-256 elliptikus görbéket, és a P-521-et használja prioritásként, akkor a támadó a támogatástól függetlenül
A hozzáférési pont oldalán található P-521 kényszerítheti a klienst a P-256 használatára. A támadást úgy hajtják végre, hogy a kapcsolat egyeztetési folyamata során kiszűrnek néhány üzenetet, és hamis üzeneteket küldenek bizonyos típusú elliptikus görbék támogatásának hiányáról.
Az eszközök sebezhetőségeinek ellenőrzésére számos szkriptet készítettek támadási példákkal:
- Dragonslayer - EAP-pwd elleni támadások végrehajtása;
- A Dragondrain egy segédprogram a hozzáférési pontok sebezhetőségének ellenőrzésére a SAE (Simultaneous Authentication of Equals) kapcsolategyeztetési módszer megvalósításában, amely szolgáltatásmegtagadás kezdeményezésére használható;
- Dragontime - a SAE elleni oldalcsatornás támadás végrehajtására szolgáló szkript, figyelembe véve a műveletek feldolgozási idejének különbségét a 22., 23. és 24. MODP-csoportok használatakor;
- A Dragonforce egy segédprogram információk helyreállítására (jelszó kitalálása) a műveletek különböző feldolgozási idejére vonatkozó információk alapján, vagy meghatározza az adatok gyorsítótárban való megőrzését.
A vezeték nélküli hálózati szabványokat kidolgozó Wi-Fi Alliance bejelentette, hogy a probléma korlátozott számú korai WPA3-Personal implementációt érint, és firmware- és szoftverfrissítésekkel orvosolható. Eddig nem észleltek rosszindulatú támadásokat. A biztonság fokozása érdekében a Wi-Fi Alliance további teszteket adott hozzá vezeték nélküli eszköztanúsítási programjához a implementációk helyességének ellenőrzése érdekében, és felvette a kapcsolatot az eszközgyártókkal az azonosított problémák megoldásának összehangolása érdekében. A problémákat orvosló javítások már megjelentek a hostap/wpa_supplicant számára. Csomagfrissítések érhetők el a következőhöz: Ubuntu. -Ban Debian, RHEL, SUSE/openSUSE, Arch, Fedora és FreeBSD problémák továbbra sem javítottak.
Forrás: opennet.ru
