WPA3 のハッキング: ドラゴンブラッド

新しい WPA3 標準はまだ完全には実装されていませんが、このプロトコルのセキュリティ上の欠陥により、攻撃者が Wi-Fi パスワードをハッキングする可能性があります。

Wi-Fi Protected Access III (WPA3) は、安全性が低く、KRACK (キー再インストール攻撃) に対して脆弱であると長い間考えられていた WPA2 の技術的欠点に対処するために開始されました。 WPA3 は、オフライン辞書攻撃 (オフライン ブルート フォース) から Wi-Fi ネットワークを保護することを目的とした、Dragonfly として知られるより安全なハンドシェイクに依存していますが、セキュリティ研究者の Mathy Vanhoef 氏と Eyal Ronen 氏は、WPA3-Personal の初期実装に脆弱性を発見しました。攻撃者はタイミングやサイド キャッシュを悪用して Wi-Fi パスワードを回復します。

「攻撃者は、WPA3 が安全に暗号化するはずの情報を読み取ることができます。 これは、クレジット カード番号、パスワード、チャット メッセージ、電子メールなどの機密情報を盗むために使用される可能性があります。」

本日公開 研究文書DragonBlood と呼ばれる、WPA3 の XNUMX 種類の設計上の欠陥を研究者たちは詳しく調べました。XNUMX つ目はダウングレード攻撃につながり、XNUMX つ目はサイド キャッシュ リークにつながります。

キャッシュベースのサイドチャネル攻撃

Dragonfly のパスワード エンコード アルゴリズムは、ハンティング アンド ペッキング アルゴリズムとも呼ばれ、条件付き分岐を含んでいます。 攻撃者が if-then-else 分岐のどの分岐が選択されたかを判断できれば、そのアルゴリズムの特定の反復でパスワード要素が見つかったかどうかを知ることができます。 実際には、攻撃者が被害者のコンピュータ上で特権のないコードを実行できる場合、キャッシュ ベースの攻撃を使用して、パスワード生成アルゴリズムの最初の反復でどの分岐が試行されたかを特定できることがわかっています。 この情報は、パスワード分割攻撃の実行に使用される可能性があります (これはオフライン辞書攻撃に似ています)。

この脆弱性は CVE-2019-9494 を使用して追跡されています。

防御は、シークレット値に依存する条件付き分岐を定数時間選択ユーティリティに置き換えることで構成されます。 実装では計算も使用する必要があります ルジャンドルのシンボル 一定の時間で。

同期ベースのサイドチャネル攻撃

Dragonfly ハンドシェイクで特定の乗法グループが使用される場合、パスワード エンコード アルゴリズムは可変回数の反復を使用してパスワードをエンコードします。 正確な反復回数は、使用するパスワードと、アクセス ポイントおよびクライアントの MAC アドレスによって異なります。 攻撃者は、パスワード エンコード アルゴリズムに対してリモート タイミング攻撃を実行して、パスワードのエンコードに必要な反復回数を特定する可能性があります。 回復された情報は、オフライン辞書攻撃と同様のパスワード攻撃を実行するために使用される可能性があります。

タイミング攻撃を防ぐために、実装では脆弱な乗法グループを無効にする必要があります。 技術的な観点からは、MODP グループ 22、23、および 24 を無効にする必要があります。 MODP グループ 1、2、および 5 を無効にすることも推奨されます。

この脆弱性は、攻撃の実装が類似しているため、CVE-2019-9494 を使用して追跡することもできます。

WPA3のダウングレード

15 年前からある WPA2 プロトコルは数十億台のデバイスで広く使用されているため、WPA3 の普及は一夜にして起こるものではありません。 古いデバイスをサポートするために、WPA3 認定デバイスは、WPA3-SAE と WPA2 の両方を使用した接続を受け入れるように構成できる「移行動作モード」を提供します。

研究者らは、一時モードはダウングレード攻撃に対して脆弱であると考えています。攻撃者はこれを利用して、WPA2 のみをサポートする不正なアクセス ポイントを作成し、WPA3 対応デバイスに安全でない WPA2 XNUMX ウェイ ハンドシェイクを使用して接続させることができます。

「SAE（Simultaneous Authentication of Peers、通称Dragonfly）ハンドシェイク自体に対するダウングレード攻撃も発見しました。この攻撃により、デバイスに通常よりも弱い楕円曲線の使用を強制することができます」と研究者らは述べた。

さらに、ダウングレード攻撃を実行するために中間者ポジションは必要ありません。 代わりに、攻撃者は WPA3-SAE ネットワークの SSID を知る必要があるだけです。

研究者らは調査結果を Wi-Fi Alliance に報告しました。Wi-Fi Alliance は、WiFi 標準と Wi-Fi 製品の準拠を認証する非営利団体で、同団体は問題を認識しており、ベンダーと協力して既存の WPA3 認定デバイスの修正に取り組んでいます。

PoC (公開時点では 404)

概念実証として、研究者らは脆弱性のテストに使用できる次の XNUMX つの別個のツール (以下にハイパーリンクが設定されている GitHub リポジトリ内) を間もなくリリースする予定です。

ドラゴンドレイン は、アクセス ポイントが WPA3 Dragonfly ハンドシェイクに対する Dos 攻撃に対してどの程度脆弱かをテストできるツールです。
ドラゴンタイム - Dragonfly ハンドシェイクに対して時限攻撃を実行する実験的なツール。
竜の力 は、タイミング攻撃から回復情報を取得し、パスワード攻撃を実行する実験的なツールです。
ドラゴンスレイヤー - EAP-pwd に対して攻撃を実行するツール。

Dragonblood: WPA3 の SAE ハンドシェイクのセキュリティ分析
プロジェクトウェブサイト - wpa3.mathyvanhoef.com

出所： habr.com