Mathy Vanhoef, pengarang serangan KRACK pada rangkaian wayarles dengan WPA2, dan Eyal Ronen, pengarang bersama beberapa serangan terhadap TLS, mendedahkan maklumat tentang enam kelemahan (CVE-2019-9494 - CVE-2019-9499) dalam teknologi perlindungan rangkaian wayarles WPA3, membolehkan anda mencipta semula kata laluan sambungan dan mendapatkan akses kepada rangkaian wayarles tanpa mengetahui kata laluan. Kerentanan ini secara kolektif diberi nama kod Dragonblood dan membenarkan kaedah rundingan sambungan Dragonfly, yang memberikan perlindungan terhadap tekaan kata laluan luar talian, dikompromi. Selain WPA3, kaedah Dragonfly juga digunakan untuk melindungi daripada meneka kamus dalam protokol EAP-pwd yang digunakan dalam Android, pelayan RADIUS dan hostapd/wpa_supplicant.
Kajian itu mengenal pasti dua jenis utama masalah seni bina dalam WPA3. Kedua-dua jenis masalah akhirnya boleh digunakan untuk membina semula kata laluan akses. Jenis pertama membolehkan anda beralih kepada kaedah kriptografi yang tidak boleh dipercayai (serangan turun taraf): alat untuk memastikan keserasian dengan WPA2 (mod transit, membenarkan penggunaan WPA2 dan WPA3) membolehkan penyerang memaksa pelanggan melakukan rundingan sambungan empat langkah digunakan oleh WPA2, yang membenarkan penggunaan lanjut kata laluan serangan brute-force klasik yang digunakan untuk WPA2. Di samping itu, kemungkinan melakukan serangan turun taraf secara langsung pada kaedah pemadanan sambungan Dragonfly telah dikenal pasti, membolehkan seseorang itu berpatah balik kepada jenis lengkung elips yang kurang selamat.
Jenis masalah kedua membawa kepada kebocoran maklumat tentang ciri kata laluan melalui saluran pihak ketiga dan berdasarkan kelemahan dalam kaedah pengekodan kata laluan dalam Dragonfly, yang membenarkan data tidak langsung, seperti perubahan dalam kelewatan semasa operasi, mencipta semula kata laluan asal . Algoritma hash-to-curve Dragonfly terdedah kepada serangan cache dan algoritma hash-to-groupnya terdedah kepada operasi serangan masa pelaksanaan (serangan masa).
Untuk melakukan serangan perlombongan cache, penyerang mesti dapat melaksanakan kod yang tidak mempunyai hak istimewa pada sistem pengguna yang menyambung ke rangkaian wayarles. Kedua-dua kaedah memungkinkan untuk mendapatkan maklumat yang diperlukan untuk menjelaskan pilihan bahagian kata laluan yang betul semasa proses pemilihan kata laluan. Keberkesanan serangan itu agak tinggi dan membolehkan anda meneka kata laluan 8 aksara yang merangkumi aksara huruf kecil, memintas hanya 40 sesi berjabat tangan dan membelanjakan sumber yang setara dengan menyewa kapasiti Amazon EC2 dengan harga $125.
Berdasarkan kelemahan yang dikenal pasti, beberapa senario serangan telah dicadangkan:
- Serangan balik pada WPA2 dengan keupayaan untuk menjalankan pemilihan kamus. Dalam persekitaran di mana pelanggan dan pusat akses menyokong kedua-dua WPA3 dan WPA2, penyerang boleh menggunakan pusat akses penyangak mereka sendiri dengan nama rangkaian yang sama yang hanya menyokong WPA2. Dalam keadaan sedemikian, pelanggan akan menggunakan ciri kaedah rundingan sambungan WPA2, di mana ia akan ditentukan bahawa pengembalian semula sedemikian tidak boleh diterima, tetapi ini akan dilakukan pada peringkat apabila mesej rundingan saluran telah dihantar dan semua maklumat yang diperlukan untuk serangan kamus telah pun bocor. Kaedah yang sama boleh digunakan untuk melancarkan versi lengkung eliptik yang bermasalah dalam SAE.
Di samping itu, didapati bahawa daemon iwd, yang dibangunkan oleh Intel sebagai alternatif kepada wpa_supplicant, dan tindanan wayarles Samsung Galaxy S10 terdedah kepada serangan menurunkan taraf walaupun dalam rangkaian yang hanya menggunakan WPA3 - jika peranti ini sebelum ini disambungkan ke rangkaian WPA3 , mereka akan cuba menyambung ke rangkaian WPA2 tiruan dengan nama yang sama.
- Serangan saluran sisi yang mengekstrak maklumat daripada cache pemproses. Algoritma pengekodan kata laluan dalam Dragonfly mengandungi percabangan bersyarat dan penyerang, yang mempunyai keupayaan untuk melaksanakan kod pada sistem pengguna wayarles, boleh, berdasarkan analisis kelakuan cache, menentukan blok ekspresi if-then-else yang mana dipilih. Maklumat yang diperolehi boleh digunakan untuk melakukan tekaan kata laluan progresif menggunakan kaedah yang serupa dengan serangan kamus luar talian pada kata laluan WPA2. Untuk perlindungan, adalah dicadangkan untuk beralih kepada menggunakan operasi dengan masa pelaksanaan yang berterusan, bebas daripada sifat data yang sedang diproses;
- Serangan saluran sisi dengan anggaran masa pelaksanaan operasi. Kod Dragonfly menggunakan berbilang kumpulan pendaraban (MODP) untuk mengekod kata laluan dan bilangan lelaran yang berubah-ubah, bilangannya bergantung pada kata laluan yang digunakan dan alamat MAC pusat akses atau klien. Penyerang jauh boleh menentukan bilangan lelaran yang dilakukan semasa pengekodan kata laluan dan menggunakannya sebagai petunjuk untuk meneka kata laluan progresif.
- Penafian panggilan perkhidmatan. Penyerang boleh menyekat operasi fungsi tertentu titik akses kerana kehabisan sumber yang ada dengan menghantar sejumlah besar permintaan rundingan saluran komunikasi. Untuk memintas perlindungan banjir yang disediakan oleh WPA3, cukup untuk menghantar permintaan daripada alamat MAC rekaan dan tidak berulang.
- Berbalik kepada kumpulan kriptografi yang kurang selamat yang digunakan dalam proses rundingan sambungan WPA3. Sebagai contoh, jika pelanggan menyokong lengkung eliptik P-521 dan P-256, dan menggunakan P-521 sebagai pilihan keutamaan, maka penyerang, tanpa mengira sokongan
P-521 pada bahagian titik akses boleh memaksa pelanggan menggunakan P-256. Serangan itu dilakukan dengan menapis beberapa mesej semasa proses rundingan sambungan dan menghantar mesej palsu dengan maklumat tentang kekurangan sokongan untuk jenis lengkung eliptik tertentu.
Untuk memeriksa kelemahan peranti, beberapa skrip telah disediakan dengan contoh serangan:
- Dragonslayer - pelaksanaan serangan pada EAP-pwd;
- Dragondrain ialah utiliti untuk menyemak kelemahan titik capaian untuk kelemahan dalam pelaksanaan kaedah rundingan sambungan SAE (Pengesahan Bersamaan Sama), yang boleh digunakan untuk memulakan penafian perkhidmatan;
- Dragontime - skrip untuk menjalankan serangan saluran sisi terhadap SAE, dengan mengambil kira perbezaan dalam masa pemprosesan operasi apabila menggunakan kumpulan MODP 22, 23 dan 24;
- Dragonforce ialah utiliti untuk memulihkan maklumat (tekaan kata laluan) berdasarkan maklumat tentang masa pemprosesan operasi yang berbeza atau menentukan pengekalan data dalam cache.
Perikatan Wi-Fi, yang membangunkan piawaian untuk rangkaian wayarles, mengumumkan bahawa masalah itu menjejaskan bilangan pelaksanaan awal WPA3-Peribadi yang terhad dan boleh diperbaiki melalui kemas kini perisian tegar dan perisian. Tiada kes kelemahan yang didokumenkan digunakan untuk melakukan tindakan berniat jahat. Untuk mengukuhkan keselamatan, Wi-Fi Alliance telah menambahkan ujian tambahan pada program pensijilan peranti wayarles untuk mengesahkan ketepatan pelaksanaan, dan juga telah menghubungi pengeluar peranti untuk bersama-sama menyelaraskan pembetulan bagi isu yang dikenal pasti. Patch telah dikeluarkan untuk hostap/wpa_supplicant. Kemas kini pakej tersedia untuk Ubuntu. Debian, RHEL, SUSE/openSUSE, Arch, Fedora dan FreeBSD masih mempunyai isu yang belum dibetulkan.
Sumber: opennet.ru