Mathy Vanhoef, autore dell'attacco KRACK alle reti wireless con WPA2, e Eyal Ronen, coautore di alcuni attacchi a TLS, hanno divulgato informazioni su sei vulnerabilità (CVE-2019-9494 - CVE-2019-9499) nella tecnologia protezione delle reti wireless WPA3, consentendo di ricreare la password di connessione e accedere alla rete wireless senza conoscere la password. Le vulnerabilità hanno collettivamente il nome in codice Dragonblood e consentono di compromettere il metodo di negoziazione della connessione Dragonfly, che fornisce protezione contro l'ipotesi di password offline. Oltre a WPA3, il metodo Dragonfly viene utilizzato anche per proteggere dalle ipotesi del dizionario nel protocollo EAP-pwd utilizzato in Android, nei server RADIUS e hostapd/wpa_supplicant.
Lo studio ha identificato due tipi principali di problemi architetturali in WPA3. Entrambi i tipi di problemi possono infine essere utilizzati per ricostruire la password di accesso. Il primo tipo consente di tornare a metodi crittografici inaffidabili (attacco di downgrade): gli strumenti per garantire la compatibilità con WPA2 (modalità di transito, che consente l'uso di WPA2 e WPA3) consentono all'aggressore di forzare il client a eseguire la negoziazione della connessione in quattro fasi utilizzato da WPA2, che consente un ulteriore utilizzo delle classiche password di attacco a forza bruta applicabili a WPA2. Inoltre, è stata individuata la possibilità di effettuare un attacco di downgrade direttamente sul metodo di abbinamento della connessione Dragonfly, consentendo di effettuare il rollback su tipologie di curve ellittiche meno sicure.
Il secondo tipo di problema porta alla fuga di informazioni sulle caratteristiche della password attraverso canali di terze parti e si basa su difetti nel metodo di codifica della password in Dragonfly, che consentono a dati indiretti, come modifiche nei ritardi durante le operazioni, di ricreare la password originale. . L'algoritmo hash-to-curve di Dragonfly è suscettibile agli attacchi della cache, mentre il suo algoritmo hash-to-group è suscettibile agli attacchi in fase di esecuzione delle operazioni (attacco temporale).
Per eseguire attacchi di cache mining, l'aggressore deve essere in grado di eseguire codice non privilegiato sul sistema dell'utente che si connette alla rete wireless. Entrambi i metodi consentono di ottenere le informazioni necessarie per chiarire la corretta scelta di parti della password durante il processo di selezione della password. L'efficacia dell'attacco è piuttosto elevata e consente di indovinare una password di 8 caratteri che includa caratteri minuscoli, intercettando solo 40 sessioni di handshake e spendendo risorse equivalenti a noleggiare la capacità di Amazon EC2 per 125 dollari.
Sulla base delle vulnerabilità identificate, sono stati proposti diversi scenari di attacco:
- Attacco rollback su WPA2 con la possibilità di effettuare la selezione del dizionario. Negli ambienti in cui il client e il punto di accesso supportano sia WPA3 che WPA2, un utente malintenzionato potrebbe distribuire il proprio punto di accesso non autorizzato con lo stesso nome di rete che supporta solo WPA2. In una situazione del genere, il client utilizzerà il metodo di negoziazione della connessione caratteristico di WPA2, durante il quale verrà stabilito che tale rollback non è ammissibile, ma ciò avverrà nella fase in cui sono stati inviati i messaggi di negoziazione del canale e tutte le informazioni necessarie perché è già trapelato un attacco basato su un dizionario. Un metodo simile può essere utilizzato per ripristinare versioni problematiche delle curve ellittiche in SAE.
Inoltre, si è scoperto che il demone iwd, sviluppato da Intel come alternativa a wpa_supplicant, e lo stack wireless del Samsung Galaxy S10 sono suscettibili agli attacchi di downgrade anche nelle reti che utilizzano solo WPA3, se questi dispositivi erano precedentemente collegati a una rete WPA3. , proveranno a connettersi a una rete WPA2 fittizia con lo stesso nome.
- Attacco a canale laterale che estrae informazioni dalla cache del processore. L’algoritmo di codifica della password in Dragonfly contiene ramificazioni condizionali e un utente malintenzionato, avendo la capacità di eseguire il codice sul sistema di un utente wireless, può, sulla base di un’analisi del comportamento della cache, determinare quale dei blocchi di espressione if-then-else è selezionato. Le informazioni ottenute possono essere utilizzate per indovinare progressivamente la password utilizzando metodi simili agli attacchi del dizionario offline sulle password WPA2. A fini di tutela si propone di passare all'utilizzo di operazioni con tempo di esecuzione costante, indipendente dalla natura dei dati trattati;
- Attacco side-channel con stima del tempo di esecuzione dell'operazione. Il codice di Dragonfly utilizza più gruppi moltiplicativi (MODP) per codificare le password e un numero variabile di iterazioni, il cui numero dipende dalla password utilizzata e dall'indirizzo MAC del punto di accesso o del client. Un utente malintenzionato remoto può determinare quante iterazioni sono state eseguite durante la codifica della password e utilizzarle come indicazione per indovinare progressivamente la password.
- Chiamata di rifiuto di servizio. Un utente malintenzionato può bloccare il funzionamento di alcune funzioni del punto di accesso a causa dell'esaurimento delle risorse disponibili inviando un gran numero di richieste di negoziazione del canale di comunicazione. Per aggirare la protezione Flood fornita da WPA3 è sufficiente inviare richieste da indirizzi MAC fittizi e non ripetitivi.
- Fallback su gruppi crittografici meno sicuri utilizzati nel processo di negoziazione della connessione WPA3. Ad esempio, se un client supporta le curve ellittiche P-521 e P-256 e utilizza P-521 come opzione prioritaria, l'aggressore, indipendentemente dal supporto
P-521 sul lato del punto di accesso può forzare il client a utilizzare P-256. L'attacco viene effettuato filtrando alcuni messaggi durante il processo di negoziazione della connessione e inviando messaggi falsi con informazioni sulla mancanza di supporto per alcuni tipi di curve ellittiche.
Per verificare la presenza di vulnerabilità nei dispositivi, sono stati preparati diversi script con esempi di attacchi:
- Dragonslayer - implementazione degli attacchi su EAP-pwd;
- Dragondrain è un'utilità per verificare la vulnerabilità dei punti di accesso per le vulnerabilità nell'implementazione del metodo di negoziazione della connessione SAE (Simultaneous Authentication of Equals), che può essere utilizzato per avviare un Denial of Service;
- Dragontime: uno script per condurre un attacco a canale laterale contro SAE, tenendo conto della differenza nel tempo di elaborazione delle operazioni quando si utilizzano i gruppi MODP 22, 23 e 24;
- Dragonforce è un'utilità per recuperare informazioni (indovinare la password) in base alle informazioni sui diversi tempi di elaborazione delle operazioni o determinare la conservazione dei dati nella cache.
La Wi-Fi Alliance, che sviluppa standard per le reti wireless, ha annunciato che il problema riguarda un numero limitato di prime implementazioni di WPA3-Personal e può essere risolto tramite un aggiornamento firmware e software. Non ci sono ancora casi di sfruttamento delle vulnerabilità per azioni dannose. Per rafforzare la sicurezza, la Wi-Fi Alliance ha aggiunto ulteriori test al programma di certificazione dei dispositivi wireless per verificare la correttezza delle implementazioni e ha anche contattato i produttori dei dispositivi per coordinare congiuntamente la risoluzione dei problemi identificati. Sono già state rilasciate patch per hostap/wpa_supplicant. Gli aggiornamenti dei pacchetti sono disponibili per Ubuntu. Debian, RHEL, SUSE/openSUSE, Arch, Fedora e FreeBSD presentano ancora problemi non risolti.
Fonte: opennet.ru