Chociaż nowy standard WPA3 nie został jeszcze w pełni wdrożony, luki w zabezpieczeniach tego protokołu umożliwiają atakującym złamanie haseł Wi-Fi.
W celu rozwiązania problemu technicznych niedociągnięć protokołu WPA3, który od dawna był uważany za niebezpieczny i podatny na atak KRACK (Key Reinstallation Attack), wprowadzono Wi-Fi Protected Access III (WPA2). Chociaż WPA3 opiera się na bezpieczniejszym uzgadnianiu znanym jako Dragonfly, którego celem jest ochrona sieci Wi-Fi przed atakami słownikowymi offline (brute-force offline), badacze bezpieczeństwa Mathy Vanhoef i Eyal Ronen odkryli słabe punkty we wczesnej implementacji WPA3-Personal, które mogłyby pozwolić atakującemu w celu odzyskania haseł Wi-Fi poprzez nadużywanie taktowania lub bocznych pamięci podręcznych.
„Atakujący mogą odczytać informacje, które WPA3 ma bezpiecznie zaszyfrować. Można to wykorzystać do kradzieży poufnych informacji, takich jak numery kart kredytowych, hasła, wiadomości czatu, e-maile itp.”.
Opublikowano dzisiaj , zwanej DragonBlood, badacze przyjrzeli się bliżej dwóm typom wad projektowych w WPA3: pierwszy prowadzi do ataków na obniżenie wersji, a drugi prowadzi do bocznych wycieków pamięci podręcznej.
Atak kanału bocznego oparty na pamięci podręcznej
Algorytm kodowania haseł Dragonfly, znany również jako algorytm polowania i dziobania, zawiera gałęzie warunkowe. Jeśli osoba atakująca może ustalić, która gałąź gałęzi „if-then-else” została wykorzystana, może dowiedzieć się, czy element hasła został znaleziony w określonej iteracji tego algorytmu. W praktyce stwierdzono, że jeśli atakujący może uruchomić nieuprzywilejowany kod na komputerze ofiary, możliwe jest wykorzystanie ataków opartych na pamięci podręcznej w celu ustalenia, która gałąź została podjęta w pierwszej iteracji algorytmu generowania hasła. Informacje te mogą zostać wykorzystane do przeprowadzenia ataku polegającego na podzieleniu hasła (jest to podobne do ataku słownikowego offline).
Śledzenie tej luki odbywa się za pomocą CVE-2019-9494.
Obrona polega na zastąpieniu gałęzi warunkowych zależnych od tajnych wartości narzędziami selekcji o stałym czasie. Wdrożenia muszą również wykorzystywać obliczenia ze stałym czasem.
Atak z kanałem bocznym oparty na synchronizacji
Kiedy uzgadnianie Dragonfly wykorzystuje pewne grupy multiplikatywne, algorytm kodowania hasła wykorzystuje zmienną liczbę iteracji do zakodowania hasła. Dokładna liczba iteracji zależy od użytego hasła i adresu MAC punktu dostępu i klienta. Osoba atakująca może przeprowadzić zdalny atak czasowy na algorytm kodowania hasła, aby określić, ile iteracji zajęło zakodowanie hasła. Odzyskane informacje można wykorzystać do przeprowadzenia ataku hasłem, który jest podobny do ataku słownikowego offline.
Aby zapobiec atakowi czasowemu, implementacje powinny wyłączyć podatne na ataki grupy multiplikatywne. Z technicznego punktu widzenia grupy MODP 22, 23 i 24 powinny być wyłączone. Zalecane jest także wyłączenie grup MODP 1, 2 i 5.
Lukę tę można również śledzić za pomocą CVE-2019-9494 ze względu na podobieństwo w realizacji ataku.
Obniżenie wersji WPA3
Ponieważ 15-letni protokół WPA2 jest powszechnie używany przez miliardy urządzeń, powszechne przyjęcie WPA3 nie nastąpi z dnia na dzień. Aby obsługiwać starsze urządzenia, urządzenia z certyfikatem WPA3 oferują „przejściowy tryb działania”, który można skonfigurować tak, aby akceptował połączenia zarówno przy użyciu WPA3-SAE, jak i WPA2.
Naukowcy uważają, że tryb przejściowy jest podatny na ataki polegające na obniżeniu wersji, które atakujący mogą wykorzystać do utworzenia fałszywego punktu dostępu obsługującego tylko WPA2, zmuszając urządzenia obsługujące WPA3 do łączenia się przy użyciu niepewnego czterokierunkowego uzgadniania WPA2.
„Odkryliśmy także atak obniżający wersję na sam uścisk dłoni SAE (Simultaneous Authentication of Peers, powszechnie znany jako Dragonfly), podczas którego możemy zmusić urządzenie do używania słabszej niż zwykle krzywej eliptycznej” – twierdzą naukowcy.
Co więcej, do przeprowadzenia ataku na niższy poziom nie jest potrzebna pozycja człowieka pośrodku. Zamiast tego atakujący muszą jedynie znać identyfikator SSID sieci WPA3-SAE.
Badacze przekazali swoje ustalenia Wi-Fi Alliance, organizacji non-profit certyfikującej standardy Wi-Fi i produkty Wi-Fi pod kątem zgodności, która przyjęła do wiadomości problemy i współpracuje z dostawcami w celu naprawy istniejących urządzeń z certyfikatem WPA3.
PoC (404 w momencie publikacji)
Na dowód koncepcji badacze wkrótce udostępnią następujące cztery osobne narzędzia (w repozytoriach GitHub, do których hiperłącza znajdują się poniżej), które można wykorzystać do testowania luk w zabezpieczeniach.
to narzędzie, które może sprawdzić, w jakim stopniu punkt dostępowy jest podatny na ataki Dos na uzgadnianie WPA3 Dragonfly.
- Eksperymentalne narzędzie do wykonywania ataków czasowych przeciwko uściskowi dłoni Dragonfly.
to eksperymentalne narzędzie, które uzyskuje informacje o odzyskiwaniu danych z ataków czasowych i przeprowadza atak hasłem.
- narzędzie przeprowadzające ataki na protokół EAP-pwd.
Strona projektu -
Źródło: www.habr.com