Sebbene il nuovo standard WPA3 non sia stato ancora completamente implementato, le falle di sicurezza in questo protocollo consentono agli aggressori di hackerare le password Wi-Fi.
Wi-Fi Protected Access III (WPA3) è stato lanciato nel tentativo di risolvere le carenze tecniche del protocollo WPA2, che era stato a lungo considerato insicuro e vulnerabile al KRACK (Key Reinstallation Attack). Sebbene WPA3 si basi su un handshake più sicuro noto come Dragonfly, che mira a proteggere le reti Wi-Fi dagli attacchi del dizionario offline (forza bruta offline), i ricercatori di sicurezza Mathy Vanhoef e Eyal Ronen hanno riscontrato punti deboli in una prima implementazione di WPA3-Personal che potrebbe consentire un utente malintenzionato possa recuperare le password Wi-Fi abusando dei timing o delle cache laterali.
“Gli aggressori possono leggere le informazioni che WPA3 dovrebbe crittografare in modo sicuro. Questo può essere utilizzato per rubare informazioni sensibili come numeri di carte di credito, password, messaggi di chat, e-mail, ecc."
Pubblicato oggi , chiamato DragonBlood, i ricercatori hanno esaminato più da vicino due tipi di difetti di progettazione in WPA3: il primo porta ad attacchi di downgrade e il secondo a perdite di cache laterali.
Attacco del canale laterale basato sulla cache
L'algoritmo di codifica della password di Dragonfly, noto anche come algoritmo di caccia e beccata, contiene rami condizionali. Se un utente malintenzionato riesce a determinare quale ramo del ramo if-then-else è stato preso, può scoprire se l'elemento password è stato trovato in una particolare iterazione di quell'algoritmo. In pratica, si è scoperto che se un utente malintenzionato riesce a eseguire codice non privilegiato su un computer vittima, è possibile utilizzare attacchi basati sulla cache per determinare quale ramo è stato tentato nella prima iterazione dell'algoritmo di generazione della password. Queste informazioni possono essere utilizzate per eseguire un attacco di suddivisione della password (simile a un attacco con dizionario offline).
Questa vulnerabilità viene monitorata utilizzando CVE-2019-9494.
La difesa consiste nel sostituire i rami condizionali che dipendono da valori segreti con utilità di selezione a tempo costante. Anche le implementazioni devono utilizzare il calcolo con tempo costante.
Attacco del canale laterale basato sulla sincronizzazione
Quando l'handshake Dragonfly utilizza determinati gruppi moltiplicativi, l'algoritmo di codifica della password utilizza un numero variabile di iterazioni per codificare la password. Il numero esatto di iterazioni dipende dalla password utilizzata e dall'indirizzo MAC del punto di accesso e del client. Un utente malintenzionato può eseguire un attacco temporale remoto all'algoritmo di codifica della password per determinare quante iterazioni sono necessarie per codificare la password. Le informazioni recuperate possono essere utilizzate per eseguire un attacco con password, simile a un attacco con dizionario offline.
Per prevenire un attacco temporale, le implementazioni dovrebbero disabilitare i gruppi moltiplicativi vulnerabili. Da un punto di vista tecnico i gruppi MODP 22, 23 e 24 dovrebbero essere disabilitati. Si consiglia inoltre di disabilitare i gruppi MODP 1, 2 e 5.
Questa vulnerabilità viene monitorata anche utilizzando CVE-2019-9494 a causa della somiglianza nell'implementazione dell'attacco.
Downgrade WPA3
Poiché il protocollo WPA15, vecchio di 2 anni, è stato ampiamente utilizzato da miliardi di dispositivi, l’adozione diffusa di WPA3 non avverrà da un giorno all’altro. Per supportare i dispositivi meno recenti, i dispositivi certificati WPA3 offrono una "modalità operativa di transizione" che può essere configurata per accettare connessioni utilizzando sia WPA3-SAE che WPA2.
I ricercatori ritengono che la modalità transitoria sia vulnerabile agli attacchi di downgrade, che gli aggressori possono utilizzare per creare un punto di accesso non autorizzato che supporti solo WPA2, costringendo i dispositivi abilitati WPA3 a connettersi utilizzando un handshake a quattro vie WPA2 non sicuro.
"Abbiamo anche scoperto un attacco di downgrade contro l'handshake SAE (Simultaneous Authentication of Peers, comunemente noto come Dragonfly), in cui possiamo forzare il dispositivo a utilizzare una curva ellittica più debole del normale", hanno detto i ricercatori.
Inoltre, la posizione man-in-the-middle non è necessaria per effettuare un attacco al downgrade. Agli aggressori basta invece conoscere l’SSID della rete WPA3-SAE.
I ricercatori hanno riferito i loro risultati alla Wi-Fi Alliance, un'organizzazione no-profit che certifica la conformità degli standard WiFi e dei prodotti Wi-Fi, che ha riconosciuto i problemi e sta lavorando con i fornitori per riparare i dispositivi esistenti certificati WPA3.
PoC (404 al momento della pubblicazione)
Come prova del concetto, i ricercatori rilasceranno presto i seguenti quattro strumenti separati (nei repository GitHub con collegamento ipertestuale di seguito) che possono essere utilizzati per testare le vulnerabilità.
è uno strumento che può verificare fino a che punto un punto di accesso è vulnerabile agli attacchi Dos sull'handshake WPA3 Dragonfly.
- Uno strumento sperimentale per eseguire attacchi a tempo contro la stretta di mano della Dragonfly.
è uno strumento sperimentale che ottiene informazioni di ripristino da attacchi temporali ed esegue un attacco con password.
- uno strumento che effettua attacchi a EAP-pwd.
Sito web del progetto -
Fonte: habr.com