Mathy Vanhoef, avtor napada KRACK na brezžična omrežja z WPA2, in Eyal Ronen, soavtor nekaterih napadov na TLS, sta razkrila podatke o šestih ranljivostih (CVE-2019-9494 - CVE-2019-9499) v tehnologiji. zaščita brezžičnih omrežij WPA3, ki vam omogoča, da znova ustvarite geslo za povezavo in pridobite dostop do brezžičnega omrežja, ne da bi poznali geslo. Ranljivosti so pod skupnim kodnim imenom Dragonblood in omogočajo ogrožanje metode pogajanja o povezavi Dragonfly, ki zagotavlja zaščito pred ugibanjem gesel brez povezave. Poleg WPA3 se metoda Dragonfly uporablja tudi za zaščito pred ugibanjem slovarja v protokolu EAP-pwd, ki se uporablja v sistemu Android, strežnikih RADIUS in hostapd/wpa_supplicant.
Študija je identificirala dve glavni vrsti arhitekturnih težav v WPA3. Obe vrsti težav je mogoče na koncu uporabiti za rekonstrukcijo gesla za dostop. Prva vrsta vam omogoča, da se vrnete na nezanesljive kriptografske metode (downgrade attack): orodja za zagotavljanje združljivosti z WPA2 (tranzitni način, ki omogoča uporabo WPA2 in WPA3) omogočajo napadalcu, da odjemalca prisili, da izvede pogajanja o povezavi v štirih korakih. uporablja WPA2, kar omogoča nadaljnjo uporabo klasičnih gesel za napade s surovo silo, ki veljajo za WPA2. Poleg tega je bila ugotovljena možnost izvajanja napada na nižjo različico neposredno na metodi ujemanja povezave Dragonfly, kar omogoča vrnitev na manj varne vrste eliptičnih krivulj.
Druga vrsta težave vodi do uhajanja informacij o značilnostih gesel prek kanalov tretjih oseb in temelji na napakah v metodi kodiranja gesel v Dragonflyju, ki posrednim podatkom, kot so spremembe zakasnitev med operacijami, omogoča ponovno ustvarjanje izvirnega gesla. . Dragonflyjev algoritem hash-to-curve je dovzeten za napade predpomnilnika, njegov algoritem hash-to-group pa je dovzeten za napade s časom izvajanja (časovni napad).
Za izvedbo napadov z rudarjenjem predpomnilnika mora biti napadalec sposoben izvesti neprivilegirano kodo v sistemu uporabnika, ki se povezuje v brezžično omrežje. Obe metodi omogočata pridobitev informacij, potrebnih za razjasnitev pravilne izbire delov gesla med postopkom izbire gesla. Učinkovitost napada je precej visoka in vam omogoča uganiti 8-mestno geslo, ki vključuje male črke, prestreči le 40 sej rokovanja in porabiti vire, ki so enakovredni najemu zmogljivosti Amazon EC2 za 125 USD.
Na podlagi ugotovljenih ranljivosti je bilo predlaganih več scenarijev napada:
- Povratni napad na WPA2 z možnostjo izvajanja izbire slovarja. V okoljih, kjer odjemalec in dostopna točka podpirata tako WPA3 kot WPA2, lahko napadalec uvede svojo lažno dostopno točko z istim omrežnim imenom, ki podpira samo WPA2. V takšni situaciji bo odjemalec uporabil način pogajanja o povezavi, ki je značilen za WPA2, med katerim bo ugotovljeno, da je takšen povratek nedopusten, vendar bo to storjeno na stopnji, ko bodo poslana sporočila pogajanja o kanalu in vsi potrebni podatki. kajti slovarski napad je že pricurljal. Podobno metodo je mogoče uporabiti za povrnitev problematičnih različic eliptičnih krivulj v SAE.
Poleg tega je bilo odkrito, da sta demon iwd, ki ga je Intel razvil kot alternativo wpa_supplicant, in brezžični sklad Samsung Galaxy S10 dovzetna za napade na nižjo različico tudi v omrežjih, ki uporabljajo samo WPA3 – če so bile te naprave predhodno povezane v omrežje WPA3 , se bodo poskušali povezati z navideznim omrežjem WPA2 z istim imenom.
- Napad stranskega kanala, ki izvleče informacije iz predpomnilnika procesorja. Algoritem za kodiranje gesel v Dragonflyju vsebuje pogojno razvejanje in napadalec, ki ima možnost izvajanja kode na sistemu brezžičnega uporabnika, lahko na podlagi analize vedenja predpomnilnika določi, kateri od blokov izraza if-then-else je izbran. Pridobljene informacije se lahko uporabijo za postopno ugibanje gesel z uporabo metod, podobnih napadom slovarjev brez povezave na gesla WPA2. Za zaščito je predlagan prehod na uporabo operacij s stalnim časom izvajanja, neodvisno od narave podatkov, ki se obdelujejo;
- Napad stranskega kanala z oceno časa izvedbe operacije. Koda Dragonfly uporablja več multiplikativnih skupin (MODP) za kodiranje gesel in spremenljivo število ponovitev, katerih število je odvisno od uporabljenega gesla in naslova MAC dostopne točke ali odjemalca. Oddaljeni napadalec lahko ugotovi, koliko iteracij je bilo izvedenih med kodiranjem gesla, in jih uporabi kot indikacijo za postopno ugibanje gesla.
- Klic za zavrnitev storitve. Napadalec lahko blokira delovanje določenih funkcij dostopne točke zaradi izčrpanosti razpoložljivih virov s pošiljanjem velikega števila zahtev za pogajanje o komunikacijskem kanalu. Če želite zaobiti zaščito pred poplavami, ki jo zagotavlja WPA3, je dovolj, da pošljete zahteve iz izmišljenih naslovov MAC, ki se ne ponavljajo.
- Povratek k manj varnim kriptografskim skupinam, ki se uporabljajo v procesu pogajanj o povezavi WPA3. Na primer, če odjemalec podpira eliptični krivulji P-521 in P-256 in uporablja P-521 kot prednostno možnost, potem napadalec ne glede na podporo
P-521 na strani dostopne točke lahko odjemalca prisili k uporabi P-256. Napad se izvede s filtriranjem nekaterih sporočil med postopkom pogajanj o povezavi in pošiljanjem lažnih sporočil z informacijami o pomanjkanju podpore za določene vrste eliptičnih krivulj.
Za preverjanje ranljivosti naprav je bilo pripravljenih več skriptov s primeri napadov:
- Dragonslayer - izvajanje napadov na EAP-pwd;
- Dragondrain je pripomoček za preverjanje ranljivosti dostopnih točk za ranljivosti pri izvajanju metode pogajanja o povezavi SAE (Simultaneous Authentication of Equals), ki se lahko uporabi za sprožitev zavrnitve storitve;
- Dragontime - skript za izvajanje napada stranskega kanala proti SAE, ob upoštevanju razlike v času obdelave operacij pri uporabi skupin MODP 22, 23 in 24;
- Dragonforce je pripomoček za obnovitev informacij (ugibanje gesla) na podlagi informacij o različnih časih obdelave operacij ali določanje hrambe podatkov v predpomnilniku.
Združenje Wi-Fi Alliance, ki razvija standarde za brezžična omrežja, je objavilo, da težava vpliva na omejeno število zgodnjih izvedb WPA3-Personal in jo je mogoče odpraviti s posodobitvijo vdelane in programske opreme. Ni bilo dokumentiranih primerov uporabe ranljivosti za izvajanje zlonamernih dejanj. Za okrepitev varnosti je združenje Wi-Fi Alliance programu certificiranja brezžičnih naprav dodalo dodatne teste za preverjanje pravilnosti implementacij, prav tako pa se je obrnilo na proizvajalce naprav, da skupaj uskladijo popravke za ugotovljene težave. Popravki so bili že izdani za hostap/wpa_supplicant. Za Ubuntu so na voljo posodobitve paketov. Debian, RHEL, SUSE/openSUSE, Arch, Fedora in FreeBSD še vedno nimajo odpravljenih težav.
Vir: opennet.ru