Mathy Vanhoef, de auteur van de KRACK-aanval op draadloze netwerken met WPA2, en Eyal Ronen, de co-auteur van enkele aanvallen op TLS, hebben informatie vrijgegeven over zes kwetsbaarheden (CVE-2019-9494 - CVE-2019-9499) in de technologie bescherming van draadloze WPA3-netwerken, waardoor u het verbindingswachtwoord opnieuw kunt aanmaken en toegang kunt krijgen tot het draadloze netwerk zonder het wachtwoord te kennen. De kwetsbaarheden hebben gezamenlijk de codenaam Dragonblood en zorgen ervoor dat de Dragonfly-verbindingsonderhandelingsmethode, die bescherming biedt tegen het offline raden van wachtwoorden, kan worden gecompromitteerd. Naast WPA3 wordt de Dragonfly-methode ook gebruikt om te beschermen tegen woordenboekraadsels in het EAP-pwd-protocol dat wordt gebruikt in Android, RADIUS-servers en hostapd/wpa_supplicant.
De studie identificeerde twee hoofdtypen architecturale problemen in WPA3. Beide soorten problemen kunnen uiteindelijk worden gebruikt om het toegangswachtwoord te reconstrueren. Met het eerste type kunt u terugkeren naar onbetrouwbare cryptografische methoden (downgrade-aanval): tools die compatibiliteit met WPA2 garanderen (transitmodus, waardoor het gebruik van WPA2 en WPA3 mogelijk is) stellen de aanvaller in staat de client te dwingen de verbindingsonderhandeling in vier stappen uit te voeren gebruikt door WPA2, waardoor verder gebruik van klassieke brute-force-aanvalswachtwoorden mogelijk is die van toepassing zijn op WPA2. Bovendien is de mogelijkheid geïdentificeerd om een downgrade-aanval rechtstreeks op de Dragonfly-verbindingsmatchingmethode uit te voeren, waardoor men terug kan keren naar minder veilige soorten elliptische curven.
Het tweede type probleem leidt tot het lekken van informatie over wachtwoordkenmerken via kanalen van derden en is gebaseerd op fouten in de wachtwoordcoderingsmethode in Dragonfly, waardoor indirecte gegevens, zoals wijzigingen in vertragingen tijdens bewerkingen, het oorspronkelijke wachtwoord opnieuw kunnen creëren. . Het hash-naar-curve-algoritme van Dragonfly is gevoelig voor cache-aanvallen, en het hash-naar-groep-algoritme is gevoelig voor uitvoeringstijdaanvallen.
Om cache mining-aanvallen uit te voeren, moet de aanvaller onbevoegde code kunnen uitvoeren op het systeem van de gebruiker die verbinding maakt met het draadloze netwerk. Beide methoden maken het mogelijk om de informatie te verkrijgen die nodig is om de juiste keuze van delen van het wachtwoord tijdens het wachtwoordselectieproces te verduidelijken. De effectiviteit van de aanval is vrij hoog en stelt je in staat een wachtwoord van 8 tekens te raden dat kleine letters bevat, waarbij slechts 40 handshake-sessies worden onderschept en middelen worden uitgegeven die gelijk staan aan het huren van Amazon EC2-capaciteit voor $ 125.
Op basis van de geïdentificeerde kwetsbaarheden zijn verschillende aanvalsscenario’s voorgesteld:
- Rollback-aanval op WPA2 met de mogelijkheid om woordenboekselectie uit te voeren. In omgevingen waar de client en het toegangspunt zowel WPA3 als WPA2 ondersteunen, kan een aanvaller zijn eigen frauduleuze toegangspunt inzetten met dezelfde netwerknaam die alleen WPA2 ondersteunt. In een dergelijke situatie zal de client de verbindingsonderhandelingsmethode gebruiken die kenmerkend is voor WPA2, waarbij wordt vastgesteld dat een dergelijke terugdraaiing niet toelaatbaar is, maar dit zal gebeuren in de fase waarin kanaalonderhandelingsberichten zijn verzonden en alle benodigde informatie is verzonden. want er is al een woordenboekaanval gelekt. Een soortgelijke methode kan worden gebruikt om problematische versies van elliptische curven in SAE terug te draaien.
Bovendien werd ontdekt dat de iwd-daemon, ontwikkeld door Intel als alternatief voor wpa_supplicant, en de Samsung Galaxy S10 wireless stack gevoelig zijn voor downgrade-aanvallen, zelfs in netwerken die alleen WPA3 gebruiken - als deze apparaten eerder waren verbonden met een WPA3-netwerk , zullen ze proberen verbinding te maken met een nep-WPA2-netwerk met dezelfde naam.
- Zijkanaalaanval die informatie uit de cache van de processor haalt. Het wachtwoordcoderingsalgoritme in Dragonfly bevat voorwaardelijke vertakkingen en een aanvaller, die de mogelijkheid heeft om de code uit te voeren op het systeem van een draadloze gebruiker, kan, op basis van een analyse van het cachegedrag, bepalen welk van de if-then-else-expressieblokken is geselecteerd. De verkregen informatie kan worden gebruikt om progressief wachtwoorden te raden met behulp van methoden die vergelijkbaar zijn met offline woordenboekaanvallen op WPA2-wachtwoorden. Ter bescherming wordt voorgesteld om over te schakelen op het gebruik van bewerkingen met een constante uitvoeringstijd, onafhankelijk van de aard van de gegevens die worden verwerkt;
- Zijkanaalaanval met schatting van de uitvoeringstijd van de operatie. De code van Dragonfly maakt gebruik van meerdere multiplicatieve groepen (MODP) om wachtwoorden te coderen en een variabel aantal iteraties, waarvan het aantal afhangt van het gebruikte wachtwoord en het MAC-adres van het toegangspunt of de client. Een aanvaller op afstand kan bepalen hoeveel iteraties zijn uitgevoerd tijdens het coderen van wachtwoorden en deze gebruiken als indicatie voor het progressief raden van wachtwoorden.
- Dienstweigering oproep. Een aanvaller kan de werking van bepaalde functies van het toegangspunt blokkeren vanwege de uitputting van de beschikbare bronnen door een groot aantal onderhandelingsverzoeken voor communicatiekanalen te verzenden. Om de overstromingsbescherming van WPA3 te omzeilen, volstaat het om verzoeken te verzenden vanaf fictieve, niet-herhalende MAC-adressen.
- Terugval op minder veilige cryptografische groepen die worden gebruikt in het onderhandelingsproces voor WPA3-verbindingen. Als een client bijvoorbeeld de elliptische curven P-521 en P-256 ondersteunt en P-521 als prioriteitsoptie gebruikt, dan zal de aanvaller, ongeacht de ondersteuning
P-521 aan de toegangspuntzijde kan de client dwingen P-256 te gebruiken. De aanval wordt uitgevoerd door enkele berichten uit te filteren tijdens het verbindingsonderhandelingsproces en valse berichten te verzenden met informatie over het gebrek aan ondersteuning voor bepaalde soorten elliptische curven.
Om apparaten te controleren op kwetsbaarheden zijn er verschillende scripts opgesteld met voorbeelden van aanvallen:
- Dragonslayer - implementatie van aanvallen op EAP-pwd;
- Dragondrain is een hulpprogramma voor het controleren van de kwetsbaarheid van toegangspunten op kwetsbaarheden bij de implementatie van de SAE-verbindingsonderhandelingsmethode (Simultaneous Authentication of Equals), die kan worden gebruikt om een Denial of Service te initiëren;
- Dragontime - een script voor het uitvoeren van een zijkanaalaanval tegen SAE, rekening houdend met het verschil in verwerkingstijd van bewerkingen bij gebruik van MODP-groepen 22, 23 en 24;
- Dragonforce is een hulpprogramma voor het herstellen van informatie (wachtwoord raden) op basis van informatie over verschillende verwerkingstijden van bewerkingen of het bepalen van de retentie van gegevens in de cache.
De Wi-Fi Alliance, die standaarden voor draadloze netwerken ontwikkelt, heeft aangekondigd dat het probleem een beperkt aantal vroege implementaties van WPA3-Personal treft en kan worden opgelost via een firmware- en software-update. Er zijn geen gedocumenteerde gevallen waarin kwetsbaarheden worden gebruikt om kwaadaardige acties uit te voeren. Om de veiligheid te versterken heeft de Wi-Fi Alliance extra tests toegevoegd aan het certificeringsprogramma voor draadloze apparaten om de juistheid van de implementaties te verifiëren, en heeft ze ook contact opgenomen met apparaatfabrikanten om gezamenlijk oplossingen voor geïdentificeerde problemen te coördineren. Er zijn al patches uitgebracht voor hostap/wpa_supplicant. Pakketupdates zijn beschikbaar voor Ubuntu. Debian, RHEL, SUSE/openSUSE, Arch, Fedora en FreeBSD hebben nog steeds onopgeloste problemen.
Bron: opennet.ru