Mathy Vanhoef, de auteur van de KRACK-aanval op draadloze netwerken, heeft informatie vrijgegeven over twaalf kwetsbaarheden die verschillende draadloze apparaten treffen. De geïdentificeerde problemen worden gepresenteerd onder de codenaam FragAttacks en hebben betrekking op vrijwel alle draadloze kaarten en toegangspunten die in gebruik zijn. Van de 12 geteste apparaten was elk apparaat vatbaar voor ten minste één van de voorgestelde aanvalsmethoden.
De problemen zijn onderverdeeld in twee categorieën: 3 kwetsbaarheden zijn rechtstreeks in de Wi-Fi-standaarden geïdentificeerd en betreffen alle apparaten die de huidige IEEE 802.11-standaarden ondersteunen (de problemen zijn opgespoord sinds 1997). 9 kwetsbaarheden hebben betrekking op fouten en gebreken in specifieke implementaties van draadloze stacks. Het grootste gevaar schuilt in de tweede categorie, omdat het organiseren van aanvallen op tekortkomingen in de normen de aanwezigheid van specifieke instellingen of de uitvoering van bepaalde acties door het slachtoffer vereist. Alle kwetsbaarheden doen zich voor ongeacht de protocollen die worden gebruikt om de Wi-Fi-beveiliging te garanderen, ook bij gebruik van WPA3.
Bij de meeste van de geïdentificeerde aanvalsmethoden kan een aanvaller L2-frames vervangen in een beveiligd netwerk, waardoor het mogelijk wordt zich in het verkeer van het slachtoffer te nestelen. Het meest realistische aanvalsscenario is het vervalsen van DNS-reacties om de gebruiker naar de host van de aanvaller te leiden. Er wordt ook een voorbeeld gegeven van het gebruik van kwetsbaarheden om de adresvertaler op een draadloze router te omzeilen en directe toegang tot een apparaat op een lokaal netwerk te organiseren of firewallbeperkingen te negeren. Het tweede deel van de kwetsbaarheden, dat verband houdt met de verwerking van gefragmenteerde frames, maakt het mogelijk om gegevens over verkeer op een draadloos netwerk te extraheren en gebruikersgegevens te onderscheppen die zonder codering worden verzonden.
De onderzoeker heeft een demonstratie voorbereid die laat zien hoe kwetsbaarheden kunnen worden gebruikt om een wachtwoord te onderscheppen dat wordt verzonden bij toegang tot een site via HTTP zonder codering. Het laat ook zien hoe je een smart socket kunt aanvallen die wordt bestuurd via Wi-Fi en deze kan gebruiken als springplank om de aanval voort te zetten. op niet-geüpdatete apparaten op een lokaal netwerk die niet-gecorrigeerde kwetsbaarheden hebben (het was bijvoorbeeld mogelijk om een niet-geüpdatete computer met Windows 7 op het interne netwerk aan te vallen via NAT-traversal).
Om de kwetsbaarheden te kunnen misbruiken, moet de aanvaller zich binnen het bereik van het draadloze doelapparaat bevinden om een speciaal vervaardigde set frames naar het slachtoffer te sturen. De problemen zijn van invloed op zowel clientapparaten en draadloze kaarten, als op toegangspunten en Wi-Fi-routers. Over het algemeen is het gebruik van HTTPS in combinatie met het versleutelen van DNS-verkeer met DNS over TLS of DNS over HTTPS voldoende als tijdelijke oplossing. Het gebruik van een VPN is ook geschikt voor bescherming.
De gevaarlijkste zijn vier kwetsbaarheden in de implementatie van draadloze apparaten, die triviale methoden mogelijk maken om de vervanging van hun niet-gecodeerde frames te bewerkstelligen:
- Kwetsbaarheden CVE-2020-26140 en CVE-2020-26143 maken frame stuffing mogelijk op sommige toegangspunten en draadloze kaarten op Linux, Windows en FreeBSD.
- Kwetsbaarheid VE-2020-26145 zorgt ervoor dat uitgezonden niet-gecodeerde fragmenten kunnen worden verwerkt als volledige frames op macOS, iOS en FreeBSD en NetBSD.
- Kwetsbaarheid CVE-2020-26144 maakt de verwerking mogelijk van niet-gecodeerde, opnieuw samengestelde A-MSDU-frames met EtherType EAPOL in Huawei Y6, Nexus 5X, FreeBSD en LANCOM AP.
Andere kwetsbaarheden in implementaties houden voornamelijk verband met problemen die optreden bij het verwerken van gefragmenteerde frames:
- CVE-2020-26139: Maakt het omleiden van frames met de EAPOL-vlag mogelijk, verzonden door een niet-geverifieerde afzender (van invloed op 2/4 vertrouwde toegangspunten, evenals op NetBSD- en FreeBSD-gebaseerde oplossingen).
- CVE-2020-26146: maakt het opnieuw samenstellen van gecodeerde fragmenten mogelijk zonder de volgorde van het volgnummer te controleren.
- CVE-2020-26147: Maakt het opnieuw samenstellen van gemengde gecodeerde en niet-gecodeerde fragmenten mogelijk.
- CVE-2020-26142: Maakt het mogelijk om gefragmenteerde frames te behandelen als volledige frames (beïnvloedt OpenBSD en de ESP12-F draadloze module).
- CVE-2020-26141: TKIP MIC-controle ontbreekt voor gefragmenteerde frames.
Specificatieproblemen:
- CVE-2020-24588 - aanval op geaggregeerde frames (de vlag "is geaggregeerd" is niet beveiligd en kan worden vervangen door een aanvaller in A-MSDU-frames in WPA, WPA2, WPA3 en WEP). Een voorbeeld van een gebruikte aanval is het omleiden van een gebruiker naar een kwaadaardige DNS-server of NAT-traversal.
- CVE-2020-245870 is een sleutelmengaanval (waardoor fragmenten die zijn gecodeerd met verschillende sleutels in WPA, WPA2, WPA3 en WEP opnieuw kunnen worden samengesteld). Met de aanval kunt u de door de client verzonden gegevens bepalen, bijvoorbeeld de inhoud van de cookie bepalen bij toegang via HTTP.
- CVE-2020-24586 is een aanval op de fragmentcache (standaarden voor WPA, WPA2, WPA3 en WEP vereisen niet de verwijdering van fragmenten die al in de cache zijn opgeslagen na een nieuwe verbinding met het netwerk). Hiermee kunt u de door de klant verzonden gegevens bepalen en uw gegevens vervangen.
Om de mate van gevoeligheid van uw apparaten voor problemen te testen, zijn een speciale toolkit en een kant-en-klare Live-image voor het maken van een opstartbare USB-drive voorbereid. Op Linux verschijnen er problemen met de mac80211 draadloze mesh, individuele draadloze stuurprogramma's en de firmware die op de draadloze kaarten is geladen. Om de kwetsbaarheden te elimineren is een reeks patches voorgesteld die de mac80211-stack en de ath10k/ath11k-stuurprogramma's dekken. Voor sommige apparaten, zoals draadloze Intel-kaarten, is een extra firmware-update vereist.
Tests van typische apparaten:
Tests van draadloze kaarten in Linux en Windows:
Tests van draadloze kaarten in FreeBSD en NetBSD:
Fabrikanten werden 9 maanden geleden op de hoogte gebracht van de problemen. Een dergelijke lange embargoperiode wordt verklaard door de gecoördineerde voorbereiding van updates en vertragingen bij de voorbereiding van wijzigingen in specificaties door de organisaties ICASI en Wi-Fi Alliance. Aanvankelijk was het de bedoeling om informatie op 9 maart vrij te geven, maar na vergelijking van de risico's werd besloten de publicatie nog eens twee maanden uit te stellen om meer tijd te geven om patches voor te bereiden, rekening houdend met het niet-triviale karakter van de veranderingen die worden gemaakt en de moeilijkheden die zich voordoen als gevolg van de COVID-19-pandemie.
Het is opmerkelijk dat Microsoft ondanks het embargo een aantal kwetsbaarheden eerder dan gepland heeft opgelost in de Windows-update van maart. De openbaarmaking van informatie werd een week voor de oorspronkelijk geplande datum uitgesteld en Microsoft had geen tijd of wilde geen wijzigingen aanbrengen in de geplande update die gereed was voor publicatie, wat een bedreiging vormde voor gebruikers van andere systemen, aangezien aanvallers informatie konden verkrijgen over kwetsbaarheden door middel van reverse-engineering van de inhoud van de updates.
Bron: opennet.ru