Luki w technologii zabezpieczeń sieci bezprzewodowych WPA3 i EAP-pwd

Mathy Vanhoef, autor ataku KRACK na sieci bezprzewodowe WPA2, i Eyal Ronen, współautor kilku ataków na TLS, ujawnili szczegóły sześciu luk (CVE-2019-9494 - CVE-2019-9499) w technologii zabezpieczeń sieci bezprzewodowych WPA3, które umożliwiają odtworzenie hasła połączenia i dostęp do sieci bezprzewodowej bez znajomości hasła. Luki o nazwie kodowej Dragonblood pozwalają na złamanie metody uzgadniania Dragonfly, która zapewnia ochronę przed odgadywaniem haseł w trybie offline. Oprócz WPA3, metoda Dragonfly jest również wykorzystywana do ochrony przed atakami słownikowymi w protokole EAP-pwd, używanym w Android, serwery RADIUS i w hostapd/wpa_supplicant.

Badanie zidentyfikowało dwa główne typy problemów architektonicznych w WPA3. Oba typy problemów mogą być ostatecznie wykorzystane do rekonstrukcji hasła dostępu. Pierwszy typ umożliwia atak downgrade: środki zapewniające zgodność z WPA2 (tryb tranzytowy, który umożliwia korzystanie z WPA2 i WPA3) pozwalają atakującemu zmusić klienta do przeprowadzenia negocjacji połączenia czterokierunkowego używanego przez WPA2, co umożliwia wykorzystanie klasycznych ataków brute-force na hasło mających zastosowanie w WPA2. Ponadto zidentyfikowano również możliwość ataku downgrade bezpośrednio na metodę negocjacji połączenia Dragonfly, co umożliwia powrót do mniej bezpiecznych typów krzywych eliptycznych.

Drugi typ problemu powoduje wyciek cech hasła przez kanały boczne i opiera się na wadach metody kodowania hasła w Dragonfly, które umożliwiają rekonstrukcję oryginalnego hasła przy użyciu danych pośrednich, takich jak zmiany opóźnienia operacji. Algorytm hash-to-curve używany w Dragonfly był podatny na ataki pamięci podręcznej, a algorytm hash-to-group był podatny na ataki czasowe.

Aby przeprowadzić ataki analizy pamięci podręcznej, atakujący musi być w stanie wykonać nieuprzywilejowany kod w systemie użytkownika łączącego się z siecią bezprzewodową. Obie metody dostarczają informacji potrzebnych do weryfikacji poprawności części hasła podczas ataku siłowego. Atak jest dość skuteczny i pozwala na siłowe złamanie 8-znakowego hasła, które zawiera małe litery, poprzez przechwycenie tylko 40 sesji uzgadniania i wydanie zasobów równoważnych wynajmowi pojemności Amazon EC2 za 125 USD.

Na podstawie zidentyfikowanych luk zaproponowano kilka scenariuszy ataków:

  • Atak typu WPA2 rollback z możliwością ataku słownikowego. W sytuacji, gdy klient i punkt dostępowy obsługują zarówno WPA3, jak i WPA2, atakujący może wdrożyć własny fałszywy punkt dostępowy o tej samej nazwie sieciowej, który obsługuje tylko WPA2. W takiej sytuacji klient użyje metody negocjacji połączenia specyficznej dla WPA2, podczas której zostanie ustalone, że takie wycofanie jest niedopuszczalne, ale zostanie to wykonane na etapie, gdy wiadomości negocjacji kanału zostały wysłane i wszystkie informacje niezbędne do ataku słownikowego już wyciekły. Podobną metodę można zastosować do wycofania problematycznych wersji krzywych eliptycznych w SAE.

    Ponadto odkryto, że demon iwd, opracowany przez firmę Intel jako alternatywa dla wpa_supplicant, oraz stos bezprzewodowy Samsung Galaxy S10 są podatne na ataki polegające na obniżeniu wersji nawet w sieciach, które wykorzystują wyłącznie protokół WPA3 — jeśli urządzenia te łączyły się wcześniej z siecią WPA3, spróbują połączyć się z fałszywą siecią WPA2 o tej samej nazwie.

  • Atak side-channel z ekstrakcją informacji z pamięci podręcznej procesora. Algorytm kodowania hasła w Dragonfly zawiera rozgałęzienie warunkowe, a atakujący, mając możliwość wykonania kodu w systemie sieci bezprzewodowej użytkownika, może określić, który z bloków wyrażeń if-then-else jest wybierany na podstawie analizy zachowania pamięci podręcznej. Uzyskane informacje można wykorzystać do przeprowadzenia progresywnego wyboru hasła przy użyciu metod podobnych do ataków słownikowych offline dla wyboru hasła WPA2. W celu ochrony proponuje się przejście na stosowanie operacji o stałym czasie wykonania, niezależnym od charakteru przetwarzanych danych;
  • Atak side-channel z oszacowaniem czasu wykonania. Kod Dragonfly używa wielu grup mnożnikowych (MODP) i zmiennej liczby iteracji podczas kodowania haseł, których liczba zależy od użytego hasła i adresu MAC punktu dostępu lub klienta. Zdalny atakujący może określić, ile iteracji jest wykonywanych podczas kodowania hasła i wykorzystać to jako funkcję do progresywnego odgadywania hasła.
  • Atak Denial of Service: Atakujący może zablokować pewne funkcje punktu dostępowego, wyczerpując dostępne zasoby, wysyłając dużą liczbę żądań negocjacji kanału. Aby ominąć ochronę przeciwpowodziową zapewnianą przez WPA3, wystarczy wysłać żądania z fikcyjnych, unikalnych adresów MAC.
  • Powrót do mniej bezpiecznych grup kryptograficznych używanych podczas negocjacji połączenia WPA3. Na przykład, jeśli klient obsługuje zarówno krzywe eliptyczne P-521, jak i P-256 i używa P-521 jako preferowanej opcji, atakujący, niezależnie od wsparcia,
    P-521 po stronie punktu dostępowego może zmusić klienta do korzystania z P-256. Atak jest przeprowadzany poprzez filtrowanie niektórych wiadomości podczas procesu negocjacji połączenia i wysyłanie fałszywych wiadomości z informacją o braku wsparcia dla niektórych typów krzywych eliptycznych.

Aby sprawdzić urządzenia pod kątem luk w zabezpieczeniach, przygotowano kilka skryptów z przykładami ataków:

  • Dragonslayer - realizacja ataków na EAP-pwd;
  • Dragondrain to narzędzie do testowania punktów dostępowych pod kątem podatności na implementację metody negocjacji połączenia SAE (Simultaneous Authentication of Equals), która może zostać wykorzystana do zainicjowania odmowy usługi;
  • Dragontime to skrypt umożliwiający przeprowadzenie ataku typu side-channel na SAE, który uwzględnia różnicę w czasie przetwarzania transakcji podczas korzystania z grup MODP 22, 23 i 24;
  • Dragonforce to narzędzie umożliwiające odzyskiwanie informacji (wybór hasła) na podstawie informacji o różnych czasach przetwarzania operacji lub określaniu czasu przechowywania danych w pamięci podręcznej.

Organizacja Wi-Fi Alliance, która opracowuje standardy sieci bezprzewodowych, ogłosiła, że ​​problem dotyczy ograniczonej liczby wczesnych implementacji protokołu WPA3-Personal i można go rozwiązać za pomocą aktualizacji oprogramowania układowego i oprogramowania. Nie wykryto jeszcze żadnych szkodliwych ataków. Aby wzmocnić bezpieczeństwo, Wi-Fi Alliance dodało dodatkowe testy do swojego programu certyfikacji urządzeń bezprzewodowych, aby zweryfikować poprawność implementacji, i skontaktowało się z producentami urządzeń w celu skoordynowania działań w celu rozwiązania zidentyfikowanych problemów. Poprawki rozwiązujące te problemy zostały już wydane dla hostap/wpa_supplicant. Dostępne są aktualizacje pakietów. Ubuntu, DebianProblemy z systemami RHEL, SUSE/openSUSE, Arch, Fedora i FreeBSD pozostają nierozwiązane.

Źródło: opennet.ru

Kup niezawodny hosting dla stron z ochroną DDoS, serwery VPS VDS 🔥 Kup niezawodny hosting stron internetowych z ochroną DDoS, serwery VPS VDS | ProHoster