Mathy Vanhoef, autor útoku KRACK na bezdrôtové siete s WPA2, a Eyal Ronen, spoluautor niektorých útokov na TLS, zverejnili informácie o šiestich zraniteľnostiach (CVE-2019-9494 - CVE-2019-9499) v technológii. ochrana bezdrôtových sietí WPA3, ktorá vám umožňuje znovu vytvoriť heslo pripojenia a získať prístup k bezdrôtovej sieti bez toho, aby ste toto heslo poznali. Zraniteľnosti sú súhrnne označené ako Dragonblood a umožňujú kompromitovať metódu vyjednávania pripojenia Dragonfly, ktorá poskytuje ochranu pred offline hádaním hesiel. Okrem WPA3 sa metóda Dragonfly používa aj na ochranu pred hádaním slovníka v protokole EAP-pwd používanom v systéme Android, serveroch RADIUS a hostapd/wpa_supplicant.
Štúdia identifikovala dva hlavné typy architektonických problémov vo WPA3. Oba typy problémov možno nakoniec použiť na rekonštrukciu prístupového hesla. Prvý typ vám umožňuje vrátiť sa späť k nespoľahlivým kryptografickým metódam (downgrade attack): nástroje na zabezpečenie kompatibility s WPA2 (režim tranzitu, umožňujúci použitie WPA2 a WPA3) umožňujú útočníkovi prinútiť klienta, aby vykonal vyjednávanie spojenia v štyroch krokoch používa WPA2, čo umožňuje ďalšie používanie klasických hesiel pre útoky hrubou silou použiteľných pre WPA2. Okrem toho bola identifikovaná možnosť vykonať downgrade útok priamo na metódu párovania pripojenia Dragonfly, čo umožňuje vrátiť sa späť k menej bezpečným typom eliptických kriviek.
Druhý typ problému vedie k úniku informácií o vlastnostiach hesla cez kanály tretích strán a je založený na nedostatkoch v metóde kódovania hesiel v Dragonfly, ktoré umožňujú nepriamym údajom, ako sú zmeny oneskorení počas operácií, znovu vytvoriť pôvodné heslo. . Algoritmus hash-to-curve spoločnosti Dragonfly je náchylný na útoky z vyrovnávacej pamäte a jej algoritmus hash-to-group je náchylný na útoky v čase vykonania.
Na vykonanie útokov na ťažbu vyrovnávacej pamäte musí byť útočník schopný spustiť neprivilegovaný kód v systéme používateľa pripájajúceho sa k bezdrôtovej sieti. Obidva spôsoby umožňujú získať informácie potrebné na objasnenie správneho výberu častí hesla počas procesu výberu hesla. Efektivita útoku je pomerne vysoká a umožňuje vám uhádnuť 8-znakové heslo, ktoré obsahuje malé písmená, zachytí len 40 handshake relácií a míňa prostriedky ekvivalentné prenájmu kapacity Amazon EC2 za 125 dolárov.
Na základe zistených zraniteľností bolo navrhnutých niekoľko scenárov útoku:
- Rollback útok na WPA2 so schopnosťou vykonať výber slovníka. V prostrediach, kde klient a prístupový bod podporujú WPA3 aj WPA2, by útočník mohol nasadiť svoj vlastný nečestný prístupový bod s rovnakým názvom siete, ktorý podporuje iba WPA2. V takejto situácii klient použije metódu vyjednávania o pripojení charakteristickú pre WPA2, počas ktorej sa zistí, že takéto vrátenie späť je neprípustné, ale urobí sa tak vo fáze, keď budú odoslané správy o vyjednávaní kanála a všetky potrebné informácie. pretože už unikol slovníkový útok. Podobnú metódu možno použiť na vrátenie problematických verzií eliptických kriviek v SAE.
Okrem toho sa zistilo, že démon iwd, vyvinutý spoločnosťou Intel ako alternatíva k wpa_supplicant, a bezdrôtový stack Samsung Galaxy S10 sú náchylné na útoky downgrade aj v sieťach, ktoré používajú iba WPA3 – ak boli tieto zariadenia predtým pripojené k sieti WPA3. , pokúsia sa pripojiť k fiktívnej sieti WPA2 s rovnakým názvom.
- Útok na bočný kanál, ktorý extrahuje informácie z vyrovnávacej pamäte procesora. Algoritmus kódovania hesla v Dragonfly obsahuje podmienené vetvenie a útočník, ktorý má schopnosť spustiť kód v systéme bezdrôtového používateľa, môže na základe analýzy správania cache určiť, ktorý z blokov výrazu if-then-else je vybratý. Získané informácie je možné použiť na progresívne hádanie hesiel pomocou metód podobných offline slovníkovým útokom na heslá WPA2. Z dôvodu ochrany sa navrhuje prejsť na používanie operácií s konštantným časom vykonávania, nezávisle od povahy spracovávaných údajov;
- Útok postranným kanálom s odhadom času vykonania operácie. Kód Dragonfly využíva viacero multiplikatívnych skupín (MODP) na kódovanie hesiel a premenlivý počet iterácií, ktorých počet závisí od použitého hesla a MAC adresy prístupového bodu alebo klienta. Vzdialený útočník môže určiť, koľko iterácií bolo vykonaných počas kódovania hesla a použiť ich ako indikáciu pre postupné hádanie hesla.
- Odmietnutie servisného hovoru. Útočník môže zablokovať činnosť určitých funkcií prístupového bodu z dôvodu vyčerpania dostupných zdrojov odoslaním veľkého počtu požiadaviek na vyjednávanie komunikačného kanála. Na obídenie protipovodňovej ochrany poskytovanej WPA3 stačí posielať požiadavky z fiktívnych, neopakujúcich sa MAC adries.
- Návrat k menej bezpečným kryptografickým skupinám používaným v procese vyjednávania pripojenia WPA3. Napríklad, ak klient podporuje eliptické krivky P-521 a P-256 a používa P-521 ako prioritnú možnosť, potom útočník bez ohľadu na podporu
P-521 na strane prístupového bodu môže prinútiť klienta použiť P-256. Útok sa vykonáva odfiltrovaním niektorých správ počas procesu vyjednávania o pripojení a odosielaním falošných správ s informáciou o nedostatočnej podpore určitých typov eliptických kriviek.
Na kontrolu zraniteľnosti zariadení bolo pripravených niekoľko skriptov s príkladmi útokov:
- Dragonslayer - implementácia útokov na EAP-pwd;
- Dragondrain je nástroj na kontrolu zraniteľnosti prístupových bodov z hľadiska zraniteľností pri implementácii metódy vyjednávania pripojenia SAE (Simultaneous Authentication of Equals), ktorú možno použiť na iniciovanie odmietnutia služby;
- Dragontime - skript na vykonávanie útoku bočným kanálom proti SAE, berúc do úvahy rozdiel v čase spracovania operácií pri použití skupín MODP 22, 23 a 24;
- Dragonforce je nástroj na obnovu informácií (hádanie hesla) na základe informácií o rôznych časoch spracovania operácií alebo určovaní uchovávania údajov vo vyrovnávacej pamäti.
Wi-Fi Alliance, ktorá vyvíja štandardy pre bezdrôtové siete, oznámila, že problém sa týka obmedzeného počtu skorých implementácií WPA3-Personal a dá sa vyriešiť aktualizáciou firmvéru a softvéru. Zatiaľ neexistujú žiadne prípady zneužitia zraniteľností na škodlivé akcie. Pre posilnenie bezpečnosti pridala Wi-Fi Alliance do programu certifikácie bezdrôtových zariadení ďalšie testy na overenie správnosti implementácií a taktiež kontaktovala výrobcov zariadení, aby spoločne koordinovali riešenie identifikovaných problémov. Opravy už boli vydané pre hostap/wpa_supplicant. Pre Ubuntu sú k dispozícii aktualizácie balíkov. Debian, RHEL, SUSE/openSUSE, Arch, Fedora a FreeBSD majú stále nevyriešené problémy.
Zdroj: opennet.ru