Mathy Vanhoef, forfatteren av KRACK-angrepet på trådløse nettverk med WPA2, og Eyal Ronen, medforfatteren av noen angrep på TLS, avslørte informasjon om seks sårbarheter (CVE-2019-9494 - CVE-2019-9499) i teknologien beskyttelse av WPA3 trådløse nettverk, slik at du kan gjenskape tilkoblingspassordet og få tilgang til det trådløse nettverket uten å vite passordet. Sårbarhetene er samlet kodenavnet Dragonblood og lar Dragonfly-forbindelsesforhandlingsmetoden, som gir beskyttelse mot offline-gjetting av passord, bli kompromittert. I tillegg til WPA3, brukes Dragonfly-metoden også for å beskytte mot ordbokgjetting i EAP-pwd-protokollen som brukes i Android, RADIUS-servere og hostapd/wpa_supplicant.
Studien identifiserte to hovedtyper av arkitektoniske problemer i WPA3. Begge typer problemer kan til slutt brukes til å rekonstruere tilgangspassordet. Den første typen lar deg rulle tilbake til upålitelige kryptografiske metoder (nedgraderingsangrep): verktøy for å sikre kompatibilitet med WPA2 (transitmodus, tillater bruk av WPA2 og WPA3) lar angriperen tvinge klienten til å utføre fire-trinns tilkoblingsforhandling brukt av WPA2, som tillater videre bruk av klassiske brute-force-angrepspassord som gjelder for WPA2. I tillegg er muligheten for å utføre et nedgraderingsangrep direkte på Dragonfly-tilkoblings-tilpasningsmetoden identifisert, slik at man kan rulle tilbake til mindre sikre typer elliptiske kurver.
Den andre typen problem fører til lekkasje av informasjon om passordkarakteristikker gjennom tredjepartskanaler og er basert på feil i passordkodingsmetoden i Dragonfly, som lar indirekte data, som endringer i forsinkelser under operasjoner, gjenskape det originale passordet. . Dragonflys hasj-til-kurve-algoritme er mottakelig for cache-angrep, og hash-til-gruppe-algoritmen er mottakelig for utførelsestidsangrep.-operasjoner (timing-angrep).
For å utføre cache mining-angrep, må angriperen være i stand til å utføre uprivilegert kode på systemet til brukeren som kobler til det trådløse nettverket. Begge metodene gjør det mulig å få den informasjonen som er nødvendig for å avklare riktig valg av deler av passordet under passordvalgsprosessen. Effektiviteten til angrepet er ganske høy og lar deg gjette et 8-tegns passord som inkluderer små bokstaver, avskjærer bare 40 håndtrykksøkter og bruker ressurser tilsvarende å leie Amazon EC2-kapasitet for $125.
Basert på de identifiserte sårbarhetene har flere angrepsscenarier blitt foreslått:
- Tilbakeføringsangrep på WPA2 med muligheten til å utføre ordbokvalg. I miljøer der klienten og tilgangspunktet støtter både WPA3 og WPA2, kan en angriper distribuere sitt eget useriøse tilgangspunkt med samme nettverksnavn som bare støtter WPA2. I en slik situasjon vil klienten bruke tilkoblingsforhandlingsmetoden som er karakteristisk for WPA2, hvor det vil bli fastslått at en slik tilbakeføring ikke er tillatt, men dette vil bli gjort på stadiet når kanalforhandlingsmeldinger er sendt og all nødvendig informasjon for et ordbokangrep har allerede lekket ut. En lignende metode kan brukes til å rulle tilbake problematiske versjoner av elliptiske kurver i SAE.
I tillegg ble det oppdaget at iwd-demonen, utviklet av Intel som et alternativ til wpa_supplicant, og den trådløse stabelen Samsung Galaxy S10 er mottakelige for nedgraderingsangrep selv i nettverk som bare bruker WPA3 - hvis disse enhetene tidligere var koblet til et WPA3-nettverk , vil de prøve å koble til et dummy WPA2-nettverk med samme navn.
- Sidekanalangrep som trekker ut informasjon fra prosessorbufferen. Passordkodingsalgoritmen i Dragonfly inneholder betinget forgrening og en angriper, som har muligheten til å utføre koden på den trådløse brukerens system, kan, basert på en analyse av hurtigbufferoppførselen, bestemme hvilken av if-then-else-uttrykksblokkene som er valgt. . Informasjonen som innhentes kan brukes til å utføre progressiv passordgjetting ved å bruke metoder som ligner offline ordbokangrep på WPA2-passord. For beskyttelse foreslås det å gå over til å bruke operasjoner med konstant utførelsestid, uavhengig av arten av dataene som behandles;
- Sidekanalangrep med estimering av operasjonsutførelsestid. Dragonflys kode bruker flere multiplikative grupper (MODP) for å kode passord og et variabelt antall iterasjoner, hvor antallet avhenger av passordet som brukes og MAC-adressen til tilgangspunktet eller klienten. En ekstern angriper kan bestemme hvor mange iterasjoner som ble utført under passordkoding og bruke dem som en indikasjon for progressiv passordgjetting.
- Denial of service call. En angriper kan blokkere driften av visse funksjoner til tilgangspunktet på grunn av utmattelse av tilgjengelige ressurser ved å sende et stort antall forespørsler om kommunikasjonskanaler. For å omgå flombeskyttelsen som tilbys av WPA3, er det nok å sende forespørsler fra fiktive, ikke-repeterende MAC-adresser.
- Tilbakeslag til mindre sikre kryptografiske grupper som brukes i WPA3-forbindelsesforhandlingsprosessen. For eksempel, hvis en klient støtter elliptiske kurver P-521 og P-256, og bruker P-521 som prioritert alternativ, vil angriperen, uavhengig av støtte
P-521 på tilgangspunktsiden kan tvinge klienten til å bruke P-256. Angrepet utføres ved å filtrere ut noen meldinger under tilkoblingsforhandlingsprosessen og sende falske meldinger med informasjon om manglende støtte for visse typer elliptiske kurver.
For å sjekke enheter for sårbarheter er det utarbeidet flere skript med eksempler på angrep:
- Dragonslayer - implementering av angrep på EAP-pwd;
- Dragondrain er et verktøy for å sjekke sårbarheten til tilgangspunkter for sårbarheter i implementeringen av SAE (Simultaneous Authentication of Equals)-forbindelsesforhandlingsmetoden, som kan brukes til å starte en tjenestenekt;
- Dragontime - et skript for å utføre et sidekanalangrep mot SAE, tar hensyn til forskjellen i behandlingstid for operasjoner ved bruk av MODP-gruppene 22, 23 og 24;
- Dragonforce er et verktøy for å gjenopprette informasjon (gjetting av passord) basert på informasjon om ulike behandlingstider for operasjoner eller for å bestemme oppbevaring av data i hurtigbufferen.
Wi-Fi Alliance, som utvikler standarder for trådløse nettverk, annonserte at problemet påvirker et begrenset antall tidlige implementeringer av WPA3-Personal og kan fikses gjennom en fastvare- og programvareoppdatering. Det har ikke vært dokumentert tilfeller av sårbarheter som ble brukt til å utføre ondsinnede handlinger. For å styrke sikkerheten har Wi-Fi Alliance lagt til ytterligere tester til sertifiseringsprogrammet for trådløse enheter for å verifisere riktigheten av implementeringer, og har også kontaktet enhetsprodusenter for i fellesskap å koordinere reparasjoner for identifiserte problemer. Patcher er allerede utgitt for hostap/wpa_supplicant. Pakkeoppdateringer er tilgjengelige for Ubuntu. Debian, RHEL, SUSE/openSUSE, Arch, Fedora og FreeBSD har fortsatt uløste problemer.
Kilde: opennet.ru