De Mathy Vanhoef, den Auteur vum KRACK Attack op drahtlose Netzwierker mat WPA2, an den Eyal Ronen, de Co-Autor vun e puer Attacken op TLS, hunn Informatioun iwwer sechs Schwachstelle (CVE-2019-9494 - CVE-2019-9499) an der Technologie verëffentlecht. Schutz vu WPA3 drahtlose Netzwierker, wat Iech erlaabt d'Verbindungspasswuert nei ze kreéieren an Zougang zum drahtlose Netzwierk ze kréien ouni d'Passwuert ze kennen. D'Schwieregkeeten sinn kollektiv Codenumm Dragonblood an erlaben d'Dragonfly Verbindung Verhandlungsmethod, déi Schutz géint offline Passwuert roden gëtt, kompromittéiert. Zousätzlech zu WPA3 gëtt d'Dragonfly Method och benotzt fir géint Wierderbuch Gussing am EAP-pwd Protokoll ze schützen deen an Android, RADIUS Serveren an hostapd/wpa_supplicant benotzt gëtt.
D'Etude identifizéiert zwou Haaptarten vun architektonesche Problemer am WPA3. Béid Zorte vu Probleemer kënne schlussendlech benotzt ginn fir den Zougangspasswuert ze rekonstruéieren. Déi éischt Zort erlaabt Iech op onzouverlässeg kryptographesch Methoden zréckzekréien (Downgrade Attack): Tools fir Kompatibilitéit mat WPA2 ze garantéieren (Transitmodus, erlaabt d'Benotzung vu WPA2 a WPA3) erlaben den Ugräifer de Client ze zwéngen fir d'Véier-Schrëtt Verbindungsverhandlungen auszeféieren. benotzt vun WPA2, déi weider Notzung vu klassesche brute-force Attacke Passwierder erlaabt, déi op WPA2 applicabel sinn. Zousätzlech, ass d'Méiglechkeet vun enger Ausféierung vun engem downgrade Attack direkt op der Dragonfly Verbindung passende Method identifizéiert ginn, datt e Rouleau zréck op manner sécher Zorte vun elliptesch Kéiren.
Déi zweet Zort vu Problem féiert zu der Leckage vun Informatiounen iwwer Passwuert Charakteristiken duerch Drëtt Partei Channels a baséiert op Mängel an der Passwuert Kodéierung Method am Dragonfly, déi indirekten Donnéeën, wéi Ännerungen an Verspéidungen während Operatiounen erlaben, d'Original Passwuert nei erstallt. . Dem Dragonfly säin Hash-to-Curve Algorithmus ass ufälleg fir Cache Attacken, a säin Hash-to-Grupp Algorithmus ass ufälleg fir Ausféierung Zäit Attacken. Operatiounen (Timing Attack).
Fir Cache-Mining-Attacke auszeféieren, muss den Ugräifer fäeg sinn onprivilegéierte Code am System vum Benotzer auszeféieren, deen mam drahtlose Netzwierk verbënnt. Béid Methode maachen et méiglech déi néideg Informatioun ze kréien fir déi richteg Wiel vun Deeler vum Passwuert während dem Passwuertauswielprozess ze klären. D'Effizienz vum Attack ass zimmlech héich an erlaabt Iech en 8-Charakter Passwuert ze roden dat kleng Buschtawen enthält, nëmmen 40 Handshake Sessiounen ofbriechen a Ressourcen ausginn, déi gläichwäerteg mat der Loyer vun Amazon EC2 Kapazitéit fir $ 125 sinn.
Baséierend op den identifizéierten Schwachstelle sinn e puer Attackszenarie proposéiert ginn:
- Rollback Attack op WPA2 mat der Fäegkeet Dictionnaireauswiel auszeféieren. An Ëmfeld wou de Client an den Zougangspunkt souwuel WPA3 wéi och WPA2 ënnerstëtzen, kéint en Ugräifer hiren eegene rogue Access Point mat deemselwechten Netzwierknumm ofsetzen, deen nëmmen WPA2 ënnerstëtzt. An esou enger Situatioun benotzt de Client d'Verbindungsverhandlungsmethod, déi charakteristesch vu WPA2 ass, wärend et festgestallt gëtt datt sou e Réckgang net zulässlech ass, awer dëst gëtt an der Bühn gemaach wou Kanalverhandlungsmessage geschéckt goufen an all déi néideg Informatioun fir e Wierderbuch Attack schonn ausgelaf ass. Eng ähnlech Method kann benotzt ginn fir problematesch Versioune vun elliptesch Kéiren an SAE zréckzekréien.
Zousätzlech gouf entdeckt datt den iwd Daemon, entwéckelt vun Intel als Alternativ zu wpa_supplicant, an de Samsung Galaxy S10 drahtlose Stack ufälleg sinn fir Attacken ze downgrade souguer an Netzwierker déi nëmmen WPA3 benotzen - wann dës Apparater virdru mat engem WPA3 Netzwierk verbonne waren , si probéieren mat engem Dummy WPA2 Netz mam selwechten Numm ze verbannen.
- Side-Channel Attack déi Informatioun aus dem Prozessor Cache extrahéiert. De Passwuert Kodéierung Algorithmus am Dragonfly enthält bedingt Verzweigung an en Ugräifer, deen d'Fäegkeet huet de Code op engem drahtlose Benotzersystem auszeféieren, kann, baséiert op enger Analyse vum Cache Verhalen, bestëmmen wéi eng vun den wann-dan-aners Ausdrockblocken ausgewielt ginn. Déi kritt Informatioun kann benotzt ginn fir progressiv Passwuert ze roden mat Methoden ähnlech wéi offline Wierderbuch Attacken op WPA2 Passwierder. Fir de Schutz gëtt proposéiert fir op Operatiounen mat konstanter Ausféierungszäit ze wiesselen, onofhängeg vun der Natur vun den Donnéeën déi veraarbecht ginn;
- Side-Channel Attack mat Schätzung vun Operatioun Ausféierung Zäit. De Code vum Dragonfly benotzt Multiplikatiounsgruppen (MODP) fir Passwierder an eng variabel Unzuel vun Iteratiounen ze codéieren, d'Zuel vun deenen hänkt vum benotzte Passwuert an der MAC Adress vum Zougangspunkt oder Client of. E Fern Ugräifer kann bestëmmen wéi vill Iteratiounen wärend der Passwuertkodéierung gemaach goufen an se als Indikatioun fir progressiv Passwuert roden.
- Denial vum Service Uruff. En Ugräifer kann d'Operatioun vu bestëmmte Funktiounen vum Zougangspunkt blockéieren wéinst der Ausschöpfung vu verfügbare Ressourcen andeems Dir eng grouss Unzuel vu Kommunikatiounskanal Verhandlungsfuerderunge schéckt. Fir den Iwwerschwemmungsschutz vum WPA3 ze ëmgoen, ass et genuch fir Ufroe vu fiktiven, net widderhuelende MAC Adressen ze schécken.
- Réckfall op manner sécher cryptographic Gruppen am WPA3 Verbindung Verhandlungsprozess benotzt. Zum Beispill, wann e Client elliptesch Kéiren P-521 a P-256 ënnerstëtzt, a benotzt P-521 als Prioritéitsoptioun, dann den Ugräifer, onofhängeg vun der Ënnerstëtzung
P-521 op der Zougang Punkt Säit kann de Client zwéngen P-256 ze benotzen. D'Attack gëtt duerch Filteren aus e puer Messagen während der Verbindung Verhandlunge Prozess duerchgefouert a gefälschte Messagen mat Informatiounen iwwer de Mangel un Ënnerstëtzung fir verschidden Zorte vun elliptesch Kéiren schéckt.
Fir Apparater op Schwachstelle ze kontrolléieren, goufen e puer Skripte mat Beispiller vun Attacke virbereet:
- Dragonslayer - Ëmsetzung vun Attacken op EAP-pwd;
- Dragondrain ass en Utility fir d'Schwächheet vun Zougangspunkte fir Schwachstelle bei der Ëmsetzung vun der SAE (Simultaneous Authentication of Equals) Verbindungsverhandlungsmethod ze kontrolléieren, déi benotzt ka ginn fir eng Verweigerung vum Service ze initiéieren;
- Dragontime - e Skript fir eng Säit-Channel Attack géint SAE ze maachen, andeems d'Differenz an der Veraarbechtungszäit vun Operatiounen berücksichtegt wann Dir MODP Gruppen 22, 23 an 24 benotzt;
- Dragonforce ass en Utility fir Informatioun ze recuperéieren (Passwuert roden) baséiert op Informatioun iwwer verschidden Veraarbechtungszäiten vun Operatiounen oder d'Bestëmmung vun der Retentioun vun Daten am Cache.
D'Wi-Fi Alliance, déi Standards fir drahtlose Netzwierker entwéckelt, huet ugekënnegt datt de Problem eng limitéiert Zuel vu fréien Implementatiounen vu WPA3-Personal beaflosst a kann duerch e Firmware- a Softwareupdate fixéiert ginn. Et goufe keng dokumentéiert Fäll vu Schwachstelle benotzt fir béiswëlleg Handlungen auszeféieren. Fir d'Sécherheet ze stäerken, huet d'Wi-Fi Alliance zousätzlech Tester zum Zertifizéierungsprogramm fir drahtlose Geräter bäigefüügt fir d'Korrektheet vun den Implementatiounen z'iwwerpréiwen, an huet och Apparathersteller erreecht fir zesummen Fixe fir identifizéiert Themen ze koordinéieren. Patches si scho fir hostap/wpa_supplicant verëffentlecht ginn. Package Updates sinn fir Ubuntu verfügbar. Debian, RHEL, SUSE/openSUSE, Arch, Fedora a FreeBSD hunn nach ëmmer Themen unfixed.
Source: opennet.ru