Daniele Antonioli, een Bluetooth-beveiligingsonderzoeker die eerder de BIAS-, BLUR- en KNOB-aanvalstechnieken ontwikkelde, heeft twee nieuwe kwetsbaarheden (CVE-2023-24023) in het Bluetooth-sessieonderhandelingsmechanisme geïdentificeerd, die van invloed zijn op alle Bluetooth-implementaties die Secure Connections-modi ondersteunen. "Secure Simple Pairing", voldoet aan de Bluetooth Core 4.2-5.4-specificaties. Als demonstratie van de praktische toepassing van de geïdentificeerde kwetsbaarheden zijn er zes aanvalsopties ontwikkeld waarmee we de verbinding tussen eerder gekoppelde Bluetooth-apparaten kunnen blokkeren. De code met de implementatie van aanvalsmethoden en hulpprogramma's voor het controleren op kwetsbaarheden wordt gepubliceerd op GitHub.
De kwetsbaarheden zijn geïdentificeerd tijdens de analyse van de mechanismen beschreven in de standaard voor het bereiken van forward secrecy (Forward en Future Secrecy), die het compromitteren van sessiesleutels tegengaan bij het bepalen van een permanente sleutel (het compromitteren van een van de permanente sleutels mag niet leiden tot tot de ontsleuteling van eerder onderschepte of toekomstige sessies) en hergebruik van sessiesleutels (een sleutel uit de ene sessie zou niet van toepassing moeten zijn op een andere sessie). De gevonden kwetsbaarheden maken het mogelijk om de opgegeven beveiliging te omzeilen en een onbetrouwbare sessiesleutel in verschillende sessies te hergebruiken. De kwetsbaarheden worden veroorzaakt door fouten in de basisstandaard, zijn niet specifiek voor individuele Bluetooth-stacks en komen voor in chips van verschillende fabrikanten.
De voorgestelde aanvalsmethoden implementeren verschillende opties voor het organiseren van spoofing van klassieke (LSC, Legacy Secure Connections gebaseerd op verouderde cryptografische primitieven) en veilige (SC, Secure Connections gebaseerd op ECDH en AES-CCM) Bluetooth-verbindingen tussen het systeem en een randapparaat, zoals evenals het organiseren van MITM-verbindingen, aanvallen voor verbindingen in LSC- en SC-modi. Er wordt aangenomen dat alle Bluetooth-implementaties die aan de standaard voldoen, vatbaar zijn voor een variant van de BLUFFS-aanval. De methode werd gedemonstreerd op 18 apparaten van bedrijven als Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell en Xiaomi.
De essentie van de kwetsbaarheden komt neer op de mogelijkheid om, zonder de standaard te schenden, een verbinding te dwingen de oude LSC-modus en een onbetrouwbare korte sessiesleutel (SK) te gebruiken, door de minimaal mogelijke entropie te specificeren tijdens het verbindingsonderhandelingsproces en de inhoud van het antwoord met authenticatieparameters (CR), wat leidt tot het genereren van een sessiesleutel op basis van permanente invoerparameters (de sessiesleutel SK wordt berekend als de KDF uit de permanente sleutel (PK) en parameters die tijdens de sessie zijn overeengekomen) . Tijdens een MITM-aanval kan een aanvaller bijvoorbeeld tijdens het sessieonderhandelingsproces de parameters 𝐴𝐶 en 𝑆𝐷 vervangen door nulwaarden, en de entropie 𝑆𝐸 instellen op 1, wat zal leiden tot de vorming van een sessiesleutel 𝑆𝐾 met een werkelijke entropie van 1 byte (de standaard minimale entropiegrootte is 7 bytes (56 bits), wat qua betrouwbaarheid vergelijkbaar is met DES-sleutelselectie).
Als de aanvaller erin is geslaagd een kortere sleutel te gebruiken tijdens de verbindingsonderhandelingen, kan hij brute kracht gebruiken om de permanente sleutel (PK) te bepalen die wordt gebruikt voor codering en om het verkeer tussen apparaten te decoderen. Omdat een MITM-aanval het gebruik van dezelfde coderingssleutel kan veroorzaken, kan deze, als deze sleutel wordt gevonden, worden gebruikt om alle eerdere en toekomstige sessies te decoderen die door de aanvaller zijn onderschept.
Om kwetsbaarheden te blokkeren, stelde de onderzoeker voor om wijzigingen aan te brengen in de standaard die het LMP-protocol uitbreiden en de logica van het gebruik van KDF (Key Derivation Function) wijzigen bij het genereren van sleutels in de LSC-modus. De wijziging verbreekt de achterwaartse compatibiliteit niet, maar zorgt er wel voor dat de uitgebreide LMP-opdracht wordt ingeschakeld en dat er nog eens 48 bytes worden verzonden. De Bluetooth SIG, die verantwoordelijk is voor de ontwikkeling van Bluetooth-standaarden, heeft voorgesteld om als veiligheidsmaatregel verbindingen via een gecodeerd communicatiekanaal met sleutels tot 7 bytes groot te weigeren. Implementaties die altijd gebruik maken van Beveiligingsmodus 4 Niveau 4 worden aangemoedigd om verbindingen met sleutels tot 16 bytes groot te weigeren.
Bron: opennet.ru