Mathy Vanhoef, a WPA2-vel vezeték nélküli hálózatok elleni KRACK-támadás szerzője és Eyal Ronen, néhány TLS elleni támadás társszerzője a technológia hat sebezhetőségéről (CVE-2019-9494 - CVE-2019-9499) hozott nyilvánosságra információkat. WPA3 vezeték nélküli hálózatok védelme, amely lehetővé teszi a csatlakozási jelszó újbóli létrehozását, és a jelszó ismerete nélkül hozzáférhet a vezeték nélküli hálózathoz. A sérülékenységek együttesen Dragonblood kódnevet viselnek, és lehetővé teszik az offline jelszókitalálás ellen védelmet nyújtó Dragonfly kapcsolategyeztetési módszert. A WPA3 mellett a Dragonfly módszert is használják a szótári találgatások elleni védelemre az Androidban, a RADIUS szervereken és a hostapd/wpa_supplicantban használt EAP-pwd protokollban.
A tanulmány két fő típusú építészeti problémát azonosított a WPA3-ban. Mindkét típusú probléma felhasználható a hozzáférési jelszó rekonstruálására. Az első típus lehetővé teszi a megbízhatatlan kriptográfiai módszerek visszaállítását (downgrade támadás): a WPA2-vel való kompatibilitást biztosító eszközök (tranzit mód, amely lehetővé teszi a WPA2 és WPA3 használatát) lehetővé teszik a támadó számára, hogy rákényszerítse az ügyfelet a négylépcsős kapcsolategyeztetés végrehajtására. a WPA2 használja, amely lehetővé teszi a WPA2-re vonatkozó klasszikus brute-force támadási jelszavak további használatát. Ezen túlmenően azonosították annak lehetőségét, hogy leminősítési támadást hajtsanak végre közvetlenül a Dragonfly kapcsolatillesztési módszerrel, lehetővé téve a visszalépést a kevésbé biztonságos elliptikus görbékhez.
A második típusú probléma a jelszavak jellemzőire vonatkozó információk kiszivárgásához vezet harmadik felek csatornáin keresztül, és a Dragonfly jelszókódolási módszerének hibáin alapul, amelyek lehetővé teszik a közvetett adatok, például a műveletek során bekövetkező késések változása miatt az eredeti jelszó újbóli létrehozását. . A Dragonfly hash-to-curve algoritmusa érzékeny a gyorsítótár-támadásokra, a hash-to-group algoritmusa pedig fogékony a végrehajtási idővel kapcsolatos támadásokra.
A gyorsítótár-bányászati támadások végrehajtásához a támadónak képesnek kell lennie arra, hogy jogosultság nélküli kódot hajtson végre a vezeték nélküli hálózathoz csatlakozó felhasználó rendszerén. Mindkét módszer lehetővé teszi a jelszóválasztási folyamat során a jelszó egyes részeinek helyes megválasztásának tisztázásához szükséges információk megszerzését. A támadás hatékonysága meglehetősen magas, és lehetővé teszi, hogy kitaláljon egy 8 karakterből álló jelszót, amely kisbetűket is tartalmaz, mindössze 40 kézfogást lehallgatva, és erőforrások elköltése megegyezik az Amazon EC2 kapacitásának 125 dolláros bérlésével.
Az azonosított sebezhetőségek alapján több támadási forgatókönyvet javasoltak:
- Rollback támadás a WPA2 ellen szótárkiválasztás lehetőségével. Azokban a környezetekben, ahol az ügyfél és a hozzáférési pont támogatja a WPA3-at és a WPA2-t is, a támadó saját csaló hozzáférési pontját telepítheti ugyanazzal a hálózatnévvel, amely csak a WPA2-t támogatja. Ilyen helyzetben a kliens a WPA2-re jellemző kapcsolat-egyeztetési módszert alkalmazza, amely során megállapítja, hogy az ilyen visszaállítás nem megengedett, de ez abban a szakaszban történik meg, amikor a csatorna egyeztető üzenetek elküldésre kerültek és minden szükséges információ megérkezett. mert már kiszivárgott egy szótártámadás. Hasonló módszer használható az elliptikus görbék problémás változatainak visszagörgetésére SAE-ben.
Ezenkívül felfedezték, hogy az Intel által a wpa_supplicant alternatívájaként kifejlesztett iwd démon és a Samsung Galaxy S10 vezeték nélküli stack még a csak WPA3-at használó hálózatokon is érzékeny a leminősítési támadásokra – ha ezek az eszközök korábban WPA3 hálózathoz csatlakoztak. , megpróbálnak csatlakozni egy azonos nevű ál WPA2 hálózathoz.
- Oldalsó csatornás támadás, amely információkat nyer ki a processzor gyorsítótárából. A Dragonfly jelszókódoló algoritmusa feltételes elágazást tartalmaz, és a támadó, aki képes a kódot a vezeték nélküli felhasználó rendszerén végrehajtani, a gyorsítótár viselkedésének elemzése alapján meghatározhatja, hogy az if-then-else kifejezésblokkok közül melyik legyen kiválasztva. A megszerzett információk felhasználhatók progresszív jelszókitalálásra a WPA2 jelszavak elleni offline szótári támadásokhoz hasonló módszerekkel. A védelem érdekében javasolt áttérni az állandó végrehajtási idejű műveletekre, függetlenül a feldolgozott adatok jellegétől;
- Oldalcsatornás támadás a művelet végrehajtási idejének becslésével. A Dragonfly kódja több multiplikatív csoportot (MODP) használ a jelszavak és változó számú iteráció kódolására, amelyek száma a használt jelszótól és a hozzáférési pont vagy kliens MAC-címétől függ. A távoli támadók meghatározhatják, hogy hány iterációt hajtottak végre a jelszókódolás során, és ezeket jelzésként használhatja a progresszív jelszókitaláláshoz.
- Szolgáltatásmegtagadási hívás. A támadó a hozzáférési pont bizonyos funkcióinak működését blokkolhatja a rendelkezésre álló erőforrások kimerülése miatt, ha nagyszámú kommunikációs csatorna egyeztetési kérést küld. A WPA3 által biztosított árvízvédelem megkerüléséhez elegendő fiktív, nem ismétlődő MAC-címekről kéréseket küldeni.
- Visszatérés a WPA3 kapcsolat egyeztetési folyamatában használt kevésbé biztonságos kriptográfiai csoportokhoz. Például, ha egy kliens támogatja a P-521 és P-256 elliptikus görbéket, és a P-521-et használja prioritásként, akkor a támadó a támogatástól függetlenül
A hozzáférési pont oldalán található P-521 kényszerítheti a klienst a P-256 használatára. A támadást úgy hajtják végre, hogy a kapcsolat egyeztetési folyamata során kiszűrnek néhány üzenetet, és hamis üzeneteket küldenek bizonyos típusú elliptikus görbék támogatásának hiányáról.
Az eszközök sebezhetőségeinek ellenőrzésére számos szkriptet készítettek támadási példákkal:
- Dragonslayer - EAP-pwd elleni támadások végrehajtása;
- A Dragondrain egy segédprogram a hozzáférési pontok sebezhetőségének ellenőrzésére a SAE (Simultaneous Authentication of Equals) kapcsolategyeztetési módszer megvalósításában, amely szolgáltatásmegtagadás kezdeményezésére használható;
- Dragontime - a SAE elleni oldalcsatornás támadás végrehajtására szolgáló szkript, figyelembe véve a műveletek feldolgozási idejének különbségét a 22., 23. és 24. MODP-csoportok használatakor;
- A Dragonforce egy segédprogram információk helyreállítására (jelszó kitalálása) a műveletek különböző feldolgozási idejére vonatkozó információk alapján, vagy meghatározza az adatok gyorsítótárban való megőrzését.
A vezeték nélküli hálózatokhoz szabványokat fejlesztő Wi-Fi Alliance bejelentette, hogy a probléma a WPA3-Personal korlátozott számú korai megvalósítását érinti, és firmware- és szoftverfrissítéssel orvosolható. Egyelőre nem fordult elő, hogy a sérülékenységet rosszindulatú tevékenységekre használták volna ki. A biztonság megerősítése érdekében a Wi-Fi Alliance további tesztekkel egészítette ki a vezeték nélküli eszközök hitelesítési programját a megvalósítások helyességének ellenőrzésére, valamint felvette a kapcsolatot az eszközgyártókkal is, hogy közösen koordinálják az azonosított problémák megoldását. A hostap/wpa_supplicant javításokat már kiadták. Csomagfrissítések érhetők el az Ubuntu számára. A Debian, az RHEL, a SUSE/openSUSE, az Arch, a Fedora és a FreeBSD problémák továbbra is megoldatlanok.
Forrás: opennet.ru