Hoewel de nieuwe WPA3-standaard nog niet volledig is geïmplementeerd, zorgen beveiligingsfouten in dit protocol ervoor dat aanvallers Wi-Fi-wachtwoorden kunnen hacken.
Wi-Fi Protected Access III (WPA3) werd gelanceerd in een poging om de technische tekortkomingen van het WPA2-protocol aan te pakken, dat lange tijd als onveilig en kwetsbaar voor KRACK (Key Reinstallation Attack) werd beschouwd. Hoewel WPA3 afhankelijk is van een veiligere handdruk, bekend als Dragonfly, die tot doel heeft Wi-Fi-netwerken te beschermen tegen offline woordenboekaanvallen (offline brute force), ontdekten beveiligingsonderzoekers Mathy Vanhoef en Eyal Ronen zwakke punten in een vroege implementatie van WPA3-Personal waardoor een aanvaller om Wi-Fi-wachtwoorden te herstellen door misbruik te maken van timing of zijcaches.
“Aanvallers kunnen informatie lezen die WPA3 veilig zou moeten versleutelen. Dit kan worden gebruikt om gevoelige informatie te stelen, zoals creditcardnummers, wachtwoorden, chatberichten, e-mails, enz.
Vandaag gepubliceerd , genaamd DragonBlood, hebben de onderzoekers twee soorten ontwerpfouten in WPA3 nader bekeken: de eerste leidt tot downgrade-aanvallen en de tweede leidt tot side-cache-lekken.
Op cache gebaseerde zijkanaalaanval
Het wachtwoordcoderingsalgoritme van Dragonfly, ook bekend als het jacht- en pikalgoritme, bevat voorwaardelijke vertakkingen. Als een aanvaller kan bepalen welke tak van de if-then-else-tak is genomen, kan hij erachter komen of het wachtwoordelement in een bepaalde iteratie van dat algoritme is gevonden. In de praktijk is gebleken dat als een aanvaller ongeautoriseerde code op een slachtoffercomputer kan uitvoeren, het mogelijk is om op cache gebaseerde aanvallen te gebruiken om te bepalen welke vertakking werd geprobeerd in de eerste iteratie van het algoritme voor het genereren van wachtwoorden. Deze informatie kan worden gebruikt om een aanval op het splitsen van wachtwoorden uit te voeren (dit is vergelijkbaar met een offline woordenboekaanval).
Deze kwetsbaarheid wordt gevolgd met behulp van CVE-2019-9494.
De verdediging bestaat uit het vervangen van voorwaardelijke vertakkingen die afhankelijk zijn van geheime waarden door selectiehulpmiddelen voor constante tijd. Implementaties moeten ook gebruik maken van berekeningen met constante tijd.
Op synchronisatie gebaseerde zijkanaalaanval
Wanneer de Dragonfly-handshake bepaalde multiplicatieve groepen gebruikt, gebruikt het wachtwoordcoderingsalgoritme een variabel aantal iteraties om het wachtwoord te coderen. Het exacte aantal iteraties is afhankelijk van het gebruikte wachtwoord en het MAC-adres van het access point en de client. Een aanvaller kan een timingaanval op afstand uitvoeren op het wachtwoordcoderingsalgoritme om te bepalen hoeveel iteraties er nodig waren om het wachtwoord te coderen. De herstelde informatie kan worden gebruikt om een wachtwoordaanval uit te voeren, die vergelijkbaar is met een offline woordenboekaanval.
Om een timingaanval te voorkomen, moeten implementaties kwetsbare multiplicatieve groepen uitschakelen. Vanuit technisch oogpunt moeten MODP-groepen 22, 23 en 24 worden uitgeschakeld. Het wordt ook aanbevolen om MODP-groepen 1, 2 en 5 uit te schakelen.
Deze kwetsbaarheid wordt ook gevolgd met behulp van CVE-2019-9494 vanwege de gelijkenis in de aanvalsimplementatie.
WPA3-downgrade
Omdat het 15 jaar oude WPA2-protocol op grote schaal wordt gebruikt door miljarden apparaten, zal de wijdverbreide adoptie van WPA3 niet van de ene op de andere dag plaatsvinden. Om oudere apparaten te ondersteunen, bieden WPA3-gecertificeerde apparaten een "overgangsmodus" die kan worden geconfigureerd om verbindingen te accepteren die zowel WPA3-SAE als WPA2 gebruiken.
De onderzoekers zijn van mening dat de transiënte modus kwetsbaar is voor downgrade-aanvallen, die aanvallers kunnen gebruiken om een frauduleus toegangspunt te creëren dat alleen WPA2 ondersteunt, waardoor WPA3-compatibele apparaten worden gedwongen verbinding te maken via een onveilige WPA2-vierwegshandshake.
“We ontdekten ook een downgrade-aanval op de SAE-handdruk (Simultaneous Authentication of Peers, algemeen bekend als Dragonfly), waarbij we het apparaat kunnen dwingen een zwakkere elliptische curve te gebruiken dan normaal”, aldus de onderzoekers.
Bovendien is de man-in-the-middle-positie niet nodig om een downgrade-aanval uit te voeren. In plaats daarvan hoeven aanvallers alleen de SSID van het WPA3-SAE-netwerk te kennen.
De onderzoekers rapporteerden hun bevindingen aan de Wi-Fi Alliance, een non-profitorganisatie die WiFi-standaarden en Wi-Fi-producten certificeert op conformiteit, die de problemen heeft onderkend en samenwerkt met leveranciers om bestaande WPA3-gecertificeerde apparaten te repareren.
PoC (404 op het moment van publicatie)
Als proof of concept zullen de onderzoekers binnenkort de volgende vier afzonderlijke tools vrijgeven (in GitHub-repository's met een hyperlink hieronder) die kunnen worden gebruikt om kwetsbaarheden te testen.
is een tool die kan testen in hoeverre een access point kwetsbaar is voor Dos-aanvallen op de WPA3 Dragonfly handshake.
- Een experimenteel hulpmiddel om getimede aanvallen uit te voeren op de Dragonfly-handdruk.
is een experimentele tool die herstelinformatie verkrijgt uit timingaanvallen en een wachtwoordaanval uitvoert.
- een tool die aanvallen uitvoert op EAP-pwd.
Projectwebsite -
Bron: www.habr.com