WPA3 ワイヤレス ネットワーク セキュリティ テクノロジと EAP-pwd の脆弱性

WPA2 を使用したワイヤレス ネットワークに対する KRACK 攻撃の作成者である Mathy Vanhoef 氏と、TLS に対するいくつかの攻撃の共著者である Eyal Ronen 氏は、このテクノロジーの 2019 つの脆弱性 (CVE-9494-2019 ～ CVE-9499-3) に関する情報を公開しました。 WPA3 ワイヤレス ネットワークを保護し、パスワードを知らなくても接続パスワードを再作成してワイヤレス ネットワークにアクセスできるようにします。これらの脆弱性は総称して「Dragonblood」というコード名で呼ばれており、オフラインでのパスワード推測に対する保護を提供する Dragonfly 接続ネゴシエーション方法が侵害される可能性があります。 WPAXNUMX に加えて、Dragonfly 方式は、Android、RADIUS サーバー、および hostapd/wpa_supplicant で使用される EAP-pwd プロトコルでの辞書推測から保護するためにも使用されます。

この調査では、WPA3 における 2 つの主なタイプのアーキテクチャ上の問題が特定されました。どちらのタイプの問題も、最終的にはアクセス パスワードを再構築するために使用できます。最初のタイプでは、信頼性の低い暗号化方式にロールバックできます (ダウングレード攻撃)。WPA2 との互換性を確保するためのツール (WPA3 と WPA2 の使用を許可するトランジット モード) により、攻撃者はクライアントに 2 段階の接続ネゴシエーションを強制的に実行させることができます。 WPAXNUMX によって使用され、WPAXNUMX に適用される従来のブルート フォース攻撃パスワードをさらに使用できるようになります。さらに、Dragonfly 接続マッチング方式に対して直接ダウングレード攻撃を実行する可能性が確認されており、安全性の低いタイプの楕円曲線にロールバックすることが可能になります。

XNUMX 番目のタイプの問題は、サードパーティのチャネルを介してパスワードの特性に関する情報が漏洩するもので、Dragonfly のパスワード エンコード方式の欠陥に基づいており、操作中の遅延の変化などの間接的なデータによって元のパスワードが再作成される可能性があります。 。 Dragonfly のハッシュからカーブへのアルゴリズムはキャッシュ攻撃を受けやすく、ハッシュからグループへのアルゴリズムは実行時間攻撃 (タイミング攻撃) の影響を受けやすくなっています。

キャッシュ マイニング攻撃を実行するには、攻撃者がワイヤレス ネットワークに接続しているユーザーのシステム上で特権のないコードを実行できる必要があります。どちらの方法でも、パスワード選択プロセス中にパスワードの各部分の正しい選択を明確にするために必要な情報を取得できます。攻撃の有効性は非常に高く、小文字を含む 8 文字のパスワードを推測できるため、傍受できるハンドシェイク セッションは 40 回のみで、Amazon EC2 の容量を 125 ドルでレンタルするのと同等のリソースが消費されます。

特定された脆弱性に基づいて、いくつかの攻撃シナリオが提案されています。

• 辞書選択を実行する機能を備えた WPA2 に対するロールバック攻撃。クライアントとアクセス ポイントが WPA3 と WPA2 の両方をサポートしている環境では、攻撃者は、WPA2 のみをサポートする同じネットワーク名を持つ独自の不正なアクセス ポイントを展開する可能性があります。このような状況では、クライアントは WPA2 の特徴である接続ネゴシエーション方法を使用します。その間、そのようなロールバックは許容されないと判断されますが、これはチャネル ネゴシエーション メッセージが送信され、必要な情報がすべて揃った段階で行われます。辞書攻撃がすでに漏洩しているからです。同様の方法を使用して、SAE で問題のあるバージョンの楕円曲線をロールバックできます。

  さらに、wpa_supplicant の代替として Intel によって開発された iwd デーモンと Samsung Galaxy S10 ワイヤレス スタックは、WPA3 のみを使用するネットワークでもダウングレード攻撃を受けやすいことが判明しました (これらのデバイスが以前に WPA3 ネットワークに接続されていた場合)。 、同じ名前のダミー WPA2 ネットワークへの接続を試みます。

• プロセッサ キャッシュから情報を抽出するサイドチャネル攻撃。 Dragonfly のパスワード エンコード アルゴリズムには条件分岐が含まれており、攻撃者はワイヤレス ユーザーのシステム上でコードを実行できるため、キャッシュ動作の分析に基づいて、どの if-then-else 式ブロックが選択されているかを判断できます。取得した情報は、WPA2 パスワードに対するオフライン辞書攻撃と同様の方法を使用して、プログレッシブなパスワード推測を実行するために使用できます。保護のために、処理されるデータの性質に関係なく、一定の実行時間を持つ操作の使用に切り替えることが提案されています。
• 操作の実行時間を推定したサイドチャネル攻撃。 Dragonfly のコードは、複数の乗法グループ (MODP) を使用してパスワードと可変の反復回数をエンコードします。反復回数は、使用されるパスワードとアクセス ポイントまたはクライアントの MAC アドレスによって異なります。リモートの攻撃者は、パスワードのエンコード中に実行された反復回数を特定し、それを段階的なパスワード推測の指標として使用する可能性があります。
• サービス拒否コール。攻撃者は、大量の通信チャネル ネゴシエーション要求を送信することで、利用可能なリソースが枯渇することにより、アクセス ポイントの特定の機能の動作をブロックする可能性があります。 WPA3 が提供するフラッド保護をバイパスするには、反復しない架空の MAC アドレスからリクエストを送信するだけで十分です。
• WPA3 接続ネゴシエーション プロセスで使用される安全性の低い暗号化グループにフォールバックします。たとえば、クライアントが楕円曲線 P-521 および P-256 をサポートし、P-521 を優先オプションとして使用する場合、攻撃者はサポートに関係なく、
  アクセス ポイント側の P-521 は、クライアントに P-256 の使用を強制できます。この攻撃は、接続ネゴシエーション プロセス中に一部のメッセージをフィルターで除外し、特定のタイプの楕円曲線がサポートされていないことに関する情報を含む偽のメッセージを送信することによって実行されます。

デバイスの脆弱性をチェックするために、攻撃の例を含むいくつかのスクリプトが用意されています。

• Dragonslayer - EAP-pwd に対する攻撃の実装。
• Dragondrain は、SAE (Simultaneous Authentication of Equals) 接続ネゴシエーション方法の実装における脆弱性についてアクセス ポイントの脆弱性をチェックするためのユーティリティであり、これはサービス拒否を開始するために使用される可能性があります。
• Dragontime - MODP グループ 22、23、および 24 を使用する場合の操作の処理時間の違いを考慮して、SAE に対してサイドチャネル攻撃を実行するためのスクリプト。
• Dragonforce は、さまざまな操作の処理時間に関する情報に基づいて情報を回復 (パスワードの推測) したり、キャッシュ内のデータの保持を判断したりするためのユーティリティです。

ワイヤレス ネットワークの標準を開発している Wi-Fi Alliance は、この問題は限られた数の WPA3-Personal の初期実装に影響しており、ファームウェアとソフトウェアのアップデートによって修正できると発表しました。悪意のあるアクションを実行するために脆弱性が使用されたという文書化されたケースはありません。セキュリティを強化するために、Wi-Fi Alliance は実装の正確性を検証するためにワイヤレス デバイス認定プログラムに追加のテストを追加し、特定された問題の修正を共同で調整するためにデバイス メーカーにも連絡を取りました。 hostap/wpa_supplicant 用のパッチはすでにリリースされています。 Ubuntu ではパッケージのアップデートが利用可能です。 Debian、RHEL、SUSE/openSUSE、Arch、Fedora、FreeBSD にはまだ修正されていない問題があります。

出所： オープンネット.ru