Mathy Vanhoef, KRACK atakos prieš belaidžius tinklus su WPA2 autorius ir Eyalas Ronenas, kai kurių TLS atakų bendraautoris, atskleidė informaciją apie šešis šios technologijos pažeidžiamumus (CVE-2019-9494 – CVE-2019-9499). WPA3 belaidžių tinklų apsauga, leidžianti iš naujo sukurti prisijungimo slaptažodį ir gauti prieigą prie belaidžio tinklo nežinant slaptažodžio. Pažeidžiamumas bendrai pavadintas „Dragonblood“ ir leidžia pažeisti „Dragonfly“ ryšio derybų metodą, kuris užtikrina apsaugą nuo slaptažodžio atspėjimo neprisijungus. Be WPA3, Dragonfly metodas taip pat naudojamas apsaugoti nuo žodyno spėlionių EAP-pwd protokole, naudojamame Android, RADIUS serveriuose ir hostapd/wpa_supplicant.
Tyrimas nustatė du pagrindinius WPA3 architektūrinių problemų tipus. Abiejų tipų problemos galiausiai gali būti panaudotos norint atkurti prieigos slaptažodį. Pirmasis tipas leidžia grįžti prie nepatikimų kriptografinių metodų (pažeminimo ataka): įrankiai, užtikrinantys suderinamumą su WPA2 (tranzito režimas, leidžiantis naudoti WPA2 ir WPA3), leidžia užpuolikui priversti klientą atlikti keturių etapų prisijungimo derybas. naudojamas WPA2, kuris leidžia toliau naudoti klasikinius brute-force atakų slaptažodžius, taikomus WPA2. Be to, buvo nustatyta galimybė atlikti pažeminimo ataką tiesiogiai naudojant Dragonfly ryšio atitikimo metodą, leidžiantį grįžti prie mažiau saugių elipsinių kreivių tipų.
Antrojo tipo problemos lemia informacijos apie slaptažodžio charakteristikas nutekėjimą per trečiųjų šalių kanalus ir yra pagrįstos Dragonfly slaptažodžio kodavimo metodo trūkumais, leidžiančiais netiesioginiams duomenims, pvz., operacijų vėlavimo pasikeitimams, atkurti pradinį slaptažodį. . Dragonfly maišos į kreivę algoritmas yra jautrus talpyklos atakoms, o jo maišos į grupę algoritmas yra jautrus vykdymo laiko atakoms.
Norėdami atlikti talpyklos kasybos atakas, užpuolikas turi turėti galimybę vykdyti neprivilegijuotą kodą vartotojo, besijungiančio prie belaidžio tinklo, sistemoje. Abu metodai leidžia gauti informaciją, reikalingą norint išsiaiškinti, kaip teisingai parinkti slaptažodžio dalis slaptažodžio pasirinkimo proceso metu. Atakos efektyvumas yra gana didelis ir leidžia atspėti 8 simbolių slaptažodį, kuriame yra mažosios raidės, perimti tik 40 rankų paspaudimų seansų ir išleisti išteklius, prilygstančius Amazon EC2 talpos nuomai už 125 USD.
Remiantis nustatytais pažeidžiamumais, buvo pasiūlyti keli atakų scenarijai:
- WPA2 atšaukimo ataka su galimybe pasirinkti žodyną. Aplinkose, kuriose klientas ir prieigos taškas palaiko ir WPA3, ir WPA2, užpuolikas gali įdiegti savo nesąžiningą prieigos tašką tuo pačiu tinklo pavadinimu, kuris palaiko tik WPA2. Esant tokiai situacijai, klientas naudos WPA2 būdingą prisijungimo derybų metodą, kurio metu bus nustatyta, kad toks atšaukimas yra neleistinas, tačiau tai bus daroma toje stadijoje, kai bus išsiųsti kanalo derybų pranešimai ir visa reikalinga informacija. nes žodyno ataka jau nutekėjo. Panašus metodas gali būti naudojamas probleminėms elipsinių kreivių versijoms panaikinti SAE.
Be to, buvo nustatyta, kad „iwd“ demonas, kurį „Intel“ sukūrė kaip alternatyvą wpa_supplicant, ir „Samsung Galaxy S10“ belaidis dėklas yra jautrūs žemesnės versijos atakoms net tinkluose, kuriuose naudojamas tik WPA3 – jei šie įrenginiai anksčiau buvo prijungti prie WPA3 tinklo. , jie bandys prisijungti prie netikro WPA2 tinklo tuo pačiu pavadinimu.
- Šoninio kanalo ataka, kuri ištraukia informaciją iš procesoriaus talpyklos. Dragonfly slaptažodžio kodavimo algoritmas turi sąlyginį išsišakojimą, o užpuolikas, galintis vykdyti kodą belaidžio vartotojo sistemoje, gali, remdamasis talpyklos elgesio analize, nustatyti, kuris iš „jei-tai-kita“ reiškinių blokų pasirinktas. Gauta informacija gali būti naudojama progresiniam slaptažodžio atspėjimui naudojant metodus, panašius į neprisijungus naudojamus žodyno atakas prieš WPA2 slaptažodžius. Apsaugai siūloma pereiti prie operacijų, kurių vykdymo laikas yra pastovus, nepriklausomai nuo tvarkomų duomenų pobūdžio;
- Šoninio kanalo ataka su operacijos vykdymo laiko įvertinimu. „Dragonfly“ kode slaptažodžiams koduoti naudojamos kelios multiplikacinės grupės (MODP) ir kintamas iteracijų skaičius, kurių skaičius priklauso nuo naudojamo slaptažodžio ir prieigos taško ar kliento MAC adreso. Nuotolinis užpuolikas gali nustatyti, kiek pakartojimų buvo atlikta slaptažodžio kodavimo metu, ir naudoti jas kaip laipsniško slaptažodžio atspėjimo indikaciją.
- Paslaugų atsisakymo skambutis. Užpuolikas gali blokuoti tam tikrų prieigos taško funkcijų veikimą dėl turimų išteklių išeikvojimo, išsiųsdamas daug ryšių kanalo derybų užklausų. Norint apeiti WPA3 teikiamą apsaugą nuo potvynio, pakanka siųsti užklausas iš fiktyvių, nesikartojančių MAC adresų.
- Atsarginis pasirinkimas prie mažiau saugių kriptografinių grupių, naudojamų WPA3 derybų dėl ryšio procese. Pavyzdžiui, jei klientas palaiko elipsines kreives P-521 ir P-256 ir naudoja P-521 kaip prioritetinę parinktį, tada užpuolikas, neatsižvelgiant į palaikymą
P-521 prieigos taško pusėje gali priversti klientą naudoti P-256. Ataka vykdoma išfiltruojant kai kuriuos pranešimus derybų dėl ryšio proceso metu ir siunčiant netikrus pranešimus su informacija apie tam tikrų tipų elipsinių kreivių palaikymo trūkumą.
Norint patikrinti, ar įrenginiuose nėra pažeidžiamumų, buvo parengti keli scenarijai su atakų pavyzdžiais:
- Dragonslayer – atakų prieš EAP-pwd įgyvendinimas;
- Dragondrain yra įrankis, skirtas patikrinti prieigos taškų pažeidžiamumą dėl pažeidžiamumų diegiant SAE (Simultaneous Authentication of Equals) prisijungimo derybų metodą, kuris gali būti naudojamas inicijuoti atsisakymą teikti paslaugą;
- Dragontime - scenarijus, skirtas atlikti šoninio kanalo ataką prieš SAE, atsižvelgiant į operacijų apdorojimo laiko skirtumą naudojant 22, 23 ir 24 MODP grupes;
- „Dragonforce“ yra programa, skirta atkurti informaciją (slaptažodžio spėjimą), pagrįstą informacija apie skirtingus operacijų apdorojimo laikus arba nustatyti duomenų išsaugojimą talpykloje.
„Wi-Fi Alliance“, kurianti belaidžių tinklų standartus, paskelbė, kad ši problema turi įtakos ribotam skaičiui ankstyvųjų WPA3-Personal diegimų ir gali būti išspręsta atnaujinus programinę įrangą ir programinę įrangą. Nebuvo užfiksuota atvejų, kai pažeidžiamumas būtų naudojamas kenkėjiškiems veiksmams atlikti. Siekdama sustiprinti saugumą, „Wi-Fi Alliance“ papildė belaidžio ryšio įrenginių sertifikavimo programą, kad patikrintų diegimo teisingumą, taip pat kreipėsi į įrenginių gamintojus, kad kartu derintų nustatytų problemų taisymus. Pataisos jau išleistos hostap/wpa_supplicant. Galimi Ubuntu paketo naujinimai. Debian, RHEL, SUSE/openSUSE, Arch, Fedora ir FreeBSD problemos vis dar neištaisytos.
Šaltinis: opennet.ru