Mathy Vanhoef, autorul atacului KRACK asupra rețelelor wireless cu WPA2, și Eyal Ronen, co-autorul unor atacuri asupra TLS, au dezvăluit informații despre șase vulnerabilități (CVE-2019-9494 - CVE-2019-9499) în tehnologie. protecția rețelelor wireless WPA3, permițându-vă să recreați parola de conectare și să obțineți acces la rețeaua fără fir fără a cunoaște parola. Vulnerabilitățile poartă numele de cod colectiv Dragonblood și permit ca metoda de negociere a conexiunii Dragonfly, care oferă protecție împotriva ghicirii parolelor offline, să fie compromisă. Pe lângă WPA3, metoda Dragonfly este folosită și pentru a proteja împotriva ghicirii dicționarului în protocolul EAP-pwd utilizat în Android, serverele RADIUS și hostapd/wpa_supplicant.
Studiul a identificat două tipuri principale de probleme arhitecturale în WPA3. Ambele tipuri de probleme pot fi utilizate în cele din urmă pentru a reconstrui parola de acces. Primul tip vă permite să reveniți la metode criptografice nesigure (atac de downgrade): instrumente pentru asigurarea compatibilității cu WPA2 (modul de tranzit, care permite utilizarea WPA2 și WPA3) permit atacatorului să forțeze clientul să efectueze negocierea conexiunii în patru pași utilizat de WPA2, care permite utilizarea în continuare a parolelor clasice de atacuri cu forță brută aplicabile WPA2. În plus, a fost identificată posibilitatea de a efectua un atac de downgrade direct asupra metodei de potrivire a conexiunii Dragonfly, permițând unuia să reveniți la tipuri mai puțin sigure de curbe eliptice.
Al doilea tip de problemă duce la scurgerea de informații despre caracteristicile parolei prin canale terțe și se bazează pe defecte ale metodei de codificare a parolei din Dragonfly, care permit datelor indirecte, cum ar fi modificările întârzierilor în timpul operațiunilor, să recreeze parola originală. . Algoritmul hash-to-curve al lui Dragonfly este susceptibil la atacuri cache, iar algoritmul său hash-to-group este susceptibil la atacuri de timp de execuție (atac de sincronizare).
Pentru a efectua atacuri de extragere a memoriei cache, atacatorul trebuie să fie capabil să execute cod neprivilegiat pe sistemul utilizatorului care se conectează la rețeaua wireless. Ambele metode fac posibilă obținerea informațiilor necesare pentru a clarifica alegerea corectă a părților parolei în timpul procesului de selecție a parolei. Eficacitatea atacului este destul de mare și vă permite să ghiciți o parolă de 8 caractere care include litere mici, interceptând doar 40 de sesiuni de strângere de mână și cheltuind resurse echivalente cu închirierea capacității Amazon EC2 pentru 125 USD.
Pe baza vulnerabilităților identificate, au fost propuse mai multe scenarii de atac:
- Atacul rollback pe WPA2 cu capacitatea de a efectua selecția dicționarului. În mediile în care clientul și punctul de acces acceptă atât WPA3, cât și WPA2, un atacator își poate implementa propriul punct de acces nepoliticos cu același nume de rețea care acceptă doar WPA2. Într-o astfel de situație, clientul va folosi metoda de negociere a conexiunii caracteristică WPA2, timp în care se va stabili că o astfel de rollback este inadmisibilă, dar aceasta se va face în etapa în care au fost trimise mesajele de negociere a canalului și toate informațiile necesare. pentru că un atac din dicționar s-a scurs deja. O metodă similară poate fi utilizată pentru a anula versiunile problematice ale curbelor eliptice în SAE.
În plus, s-a descoperit că daemonul iwd, dezvoltat de Intel ca alternativă la wpa_supplicant, și stiva wireless Samsung Galaxy S10 sunt susceptibile la atacuri de downgrade chiar și în rețelele care folosesc doar WPA3 - dacă aceste dispozitive au fost conectate anterior la o rețea WPA3. , vor încerca să se conecteze la o rețea WPA2 falsă cu același nume.
- Atac pe canal lateral care extrage informații din memoria cache a procesorului. Algoritmul de codificare a parolei din Dragonfly conține ramificare condiționată și un atacator, având posibilitatea de a executa codul pe sistemul utilizatorului wireless, poate, pe baza unei analize a comportamentului cache-ului, să determine care dintre blocurile de expresie if-then-else este selectat . Informațiile obținute pot fi folosite pentru a efectua ghicirea progresivă a parolelor folosind metode similare atacurilor de dicționar offline asupra parolelor WPA2. Pentru protecție, se propune trecerea la utilizarea operațiunilor cu timp de execuție constant, independent de natura datelor în curs de prelucrare;
- Atac pe canal lateral cu estimarea timpului de execuție a operațiunii. Codul Dragonfly folosește mai multe grupuri multiplicative (MODP) pentru a codifica parolele și un număr variabil de iterații, al căror număr depinde de parola utilizată și de adresa MAC a punctului de acces sau a clientului. Un atacator de la distanță poate determina câte iterații au fost efectuate în timpul codificării parolei și le poate folosi ca indicație pentru ghicirea progresivă a parolei.
- Apel de refuz de serviciu. Un atacator poate bloca funcționarea anumitor funcții ale punctului de acces din cauza epuizării resurselor disponibile prin trimiterea unui număr mare de solicitări de negociere a canalului de comunicație. Pentru a ocoli protecția împotriva inundațiilor oferită de WPA3, este suficient să trimiteți cereri de la adrese MAC fictive, care nu se repetă.
- Revenire la grupuri criptografice mai puțin sigure utilizate în procesul de negociere a conexiunii WPA3. De exemplu, dacă un client acceptă curbele eliptice P-521 și P-256 și folosește P-521 ca opțiune prioritară, atunci atacatorul, indiferent de suport
P-521 din partea punctului de acces poate forța clientul să folosească P-256. Atacul se realizează prin filtrarea unor mesaje în timpul procesului de negociere a conexiunii și trimiterea de mesaje false cu informații despre lipsa suportului pentru anumite tipuri de curbe eliptice.
Pentru a verifica dispozitivele pentru vulnerabilități, au fost pregătite mai multe scripturi cu exemple de atacuri:
- Dragonslayer - implementarea atacurilor asupra EAP-pwd;
- Dragondrain este un utilitar pentru verificarea vulnerabilității punctelor de acces pentru vulnerabilități în implementarea metodei de negociere a conexiunii SAE (Simultaneous Authentication of Equals), care poate fi folosită pentru a iniția un denial of service;
- Dragontime - un script pentru efectuarea unui atac pe canalul lateral împotriva SAE, ținând cont de diferența de timp de procesare a operațiunilor atunci când se utilizează grupurile MODP 22, 23 și 24;
- Dragonforce este un utilitar de recuperare a informațiilor (ghicirea parolei) bazată pe informații despre diferiți timpi de procesare a operațiunilor sau determinarea reținerii datelor în cache.
Wi-Fi Alliance, care dezvoltă standarde pentru rețelele wireless, a anunțat că problema afectează un număr limitat de implementări timpurii ale WPA3-Personal și poate fi rezolvată printr-o actualizare de firmware și software. Nu au existat cazuri documentate de utilizare a vulnerabilităților pentru a efectua acțiuni rău intenționate. Pentru a consolida securitatea, Wi-Fi Alliance a adăugat teste suplimentare la programul de certificare a dispozitivelor fără fir pentru a verifica corectitudinea implementărilor și, de asemenea, a contactat producătorii de dispozitive pentru a coordona împreună soluțiile pentru problemele identificate. Patch-urile au fost deja lansate pentru hostap/wpa_supplicant. Actualizările pachetului sunt disponibile pentru Ubuntu. Debian, RHEL, SUSE/openSUSE, Arch, Fedora și FreeBSD au încă probleme nerezolvate.
Sursa: opennet.ru