Mathy Vanhoef, autori i sulmit KRACK në rrjetet pa tel me WPA2 dhe Eyal Ronen, bashkëautor i disa sulmeve në TLS, zbuluan informacione rreth gjashtë dobësive (CVE-2019-9494 - CVE-2019-9499) në teknologji mbrojtja e rrjeteve me valë WPA3, duke ju lejuar të rikrijoni fjalëkalimin e lidhjes dhe të fitoni akses në rrjetin me valë pa e ditur fjalëkalimin. Dobësitë janë të koduara së bashku me emrin Dragonblood dhe lejojnë që metoda e negocimit të lidhjes Dragonfly, e cila siguron mbrojtje kundër hamendjes së fjalëkalimit jashtë linje, të rrezikohet. Përveç WPA3, metoda Dragonfly përdoret gjithashtu për të mbrojtur kundër hamendjes së fjalorit në protokollin EAP-pwd të përdorur në serverët Android, RADIUS dhe hostapd/wpa_supplicant.
Studimi identifikoi dy lloje kryesore të problemeve arkitekturore në WPA3. Të dy llojet e problemeve mund të përdoren përfundimisht për të rindërtuar fjalëkalimin e hyrjes. Lloji i parë ju lejon të ktheheni te metodat kriptografike jo të besueshme (sulmi i uljes): mjetet për të siguruar përputhshmërinë me WPA2 (modaliteti i tranzitit, duke lejuar përdorimin e WPA2 dhe WPA3) lejojnë sulmuesin të detyrojë klientin të kryejë negocimin e lidhjes me katër hapa përdoret nga WPA2, i cili lejon përdorimin e mëtejshëm të fjalëkalimeve klasike të sulmeve brutale të zbatueshme për WPA2. Për më tepër, është identifikuar mundësia e kryerjes së një sulmi degradimi direkt në metodën e përputhjes së lidhjes Dragonfly, duke lejuar që dikush të kthehet në lloje më pak të sigurta të kthesave eliptike.
Lloji i dytë i problemit çon në rrjedhjen e informacionit rreth karakteristikave të fjalëkalimit përmes kanaleve të palëve të treta dhe bazohet në të metat në metodën e kodimit të fjalëkalimit në Dragonfly, të cilat lejojnë të dhënat indirekte, si ndryshimet në vonesat gjatë operacioneve, të rikrijojnë fjalëkalimin origjinal. . Algoritmi hash-to-curve i Dragonfly është i ndjeshëm ndaj sulmeve të memories dhe algoritmi i tij hash-to-grup është i ndjeshëm ndaj sulmeve në kohën e ekzekutimit.operacionet (sulmi në kohë).
Për të kryer sulme të minierave të cache, sulmuesi duhet të jetë në gjendje të ekzekutojë kodin e paprivilegjuar në sistemin e përdoruesit që lidhet me rrjetin pa tel. Të dyja metodat bëjnë të mundur marrjen e informacionit të nevojshëm për të sqaruar zgjedhjen e saktë të pjesëve të fjalëkalimit gjatë procesit të zgjedhjes së fjalëkalimit. Efektiviteti i sulmit është mjaft i lartë dhe ju lejon të merrni me mend një fjalëkalim me 8 karaktere që përfshin karaktere të vogla, duke përgjuar vetëm 40 seanca shtrëngimi duarsh dhe duke shpenzuar burime ekuivalente me marrjen me qira të kapacitetit të Amazon EC2 për 125 dollarë.
Bazuar në dobësitë e identifikuara, janë propozuar disa skenarë sulmi:
- Sulm kthimi në WPA2 me aftësinë për të kryer zgjedhjen e fjalorit. Në mjediset ku klienti dhe pika e aksesit mbështesin të dy WPA3 dhe WPA2, një sulmues mund të vendosë pikën e tij të hyrjes mashtruese me të njëjtin emër rrjeti që mbështet vetëm WPA2. Në një situatë të tillë, klienti do të përdorë metodën e negocimit të lidhjes karakteristike të WPA2, gjatë së cilës do të përcaktohet se një rikthim i tillë është i papranueshëm, por kjo do të bëhet në fazën kur mesazhet e negocimit të kanalit janë dërguar dhe të gjithë informacionin e nevojshëm. për një sulm fjalori ka rrjedhur tashmë. Një metodë e ngjashme mund të përdoret për të rikthyer versionet problematike të kthesave eliptike në SAE.
Për më tepër, u zbulua se iwd daemon, i zhvilluar nga Intel si një alternativë ndaj wpa_supplicant, dhe steka pa tel Samsung Galaxy S10 janë të ndjeshme ndaj sulmeve të degradimit edhe në rrjetet që përdorin vetëm WPA3 - nëse këto pajisje ishin të lidhura më parë me një rrjet WPA3 , ata do të përpiqen të lidhen me një rrjet të rremë WPA2 me të njëjtin emër.
- Sulm i kanalit anësor që nxjerr informacion nga cache e procesorit. Algoritmi i kodimit të fjalëkalimit në Dragonfly përmban degëzim të kushtëzuar dhe një sulmues, që ka aftësinë për të ekzekutuar kodin në sistemin e një përdoruesi pa tel, mundet, bazuar në një analizë të sjelljes së cache-it, të përcaktojë se cili nga blloqet e shprehjes if-ather-else është zgjedhur. Informacioni i marrë mund të përdoret për të kryer hamendje progresive të fjalëkalimit duke përdorur metoda të ngjashme me sulmet e fjalorit jashtë linje në fjalëkalimet WPA2. Për mbrojtje, propozohet kalimi në përdorimin e operacioneve me kohë të vazhdueshme ekzekutimi, pavarësisht nga natyra e të dhënave që përpunohen;
- Sulmi i kanalit anësor me vlerësimin e kohës së ekzekutimit të operacionit. Kodi i Dragonfly përdor grupe të shumta shumëzuese (MODP) për të koduar fjalëkalimet dhe një numër të ndryshueshëm përsëritjesh, numri i të cilave varet nga fjalëkalimi i përdorur dhe adresa MAC e pikës së hyrjes ose klientit. Një sulmues në distancë mund të përcaktojë se sa përsëritje janë kryer gjatë kodimit të fjalëkalimit dhe t'i përdorë ato si një tregues për hamendjen progresive të fjalëkalimit.
- Refuzimi i thirrjes së shërbimit. Një sulmues mund të bllokojë funksionimin e funksioneve të caktuara të pikës së aksesit për shkak të shterimit të burimeve të disponueshme duke dërguar një numër të madh kërkesash për negocimin e kanalit të komunikimit. Për të anashkaluar mbrojtjen nga përmbytjet e ofruar nga WPA3, mjafton të dërgoni kërkesa nga adresa MAC fiktive dhe jo të përsëritura.
- Rikthim në grupe kriptografike më pak të sigurta të përdorura në procesin e negociatave të lidhjes WPA3. Për shembull, nëse një klient mbështet kthesat eliptike P-521 dhe P-256, dhe përdor P-521 si opsion prioritar, atëherë sulmuesi, pavarësisht nga mbështetja
P-521 në anën e pikës së hyrjes mund ta detyrojë klientin të përdorë P-256. Sulmi kryhet duke filtruar disa mesazhe gjatë procesit të negocimit të lidhjes dhe duke dërguar mesazhe të rreme me informacione për mungesën e mbështetjes për lloje të caktuara të kthesave eliptike.
Për të kontrolluar pajisjet për dobësi, janë përgatitur disa skripta me shembuj sulmesh:
- Dragonslayer - zbatimi i sulmeve në EAP-pwd;
- Dragondrain është një mjet për kontrollimin e cenueshmërisë së pikave të hyrjes për dobësitë në zbatimin e metodës së negociatave të lidhjes SAE (Simultaneous Authentication of Equals), e cila mund të përdoret për të inicuar një mohim të shërbimit;
- Dragontime - një skenar për kryerjen e një sulmi të kanalit anësor kundër SAE, duke marrë parasysh ndryshimin në kohën e përpunimit të operacioneve kur përdorni grupet MODP 22, 23 dhe 24;
- Dragonforce është një mjet për rikuperimin e informacionit (gamendja e fjalëkalimit) bazuar në informacione në lidhje me kohët e ndryshme të përpunimit të operacioneve ose përcaktimin e mbajtjes së të dhënave në cache.
Aleanca Wi-Fi, e cila zhvillon standarde për rrjetet me valë, njoftoi se problemi prek një numër të kufizuar zbatimesh të hershme të WPA3-Personal dhe mund të rregullohet përmes një përditësimi të firmuerit dhe softuerit. Nuk ka pasur raste të dokumentuara të dobësive që janë përdorur për të kryer veprime me qëllim të keq. Për të forcuar sigurinë, Wi-Fi Alliance ka shtuar teste shtesë në programin e certifikimit të pajisjes me valë për të verifikuar korrektësinë e zbatimeve, dhe gjithashtu ka kontaktuar me prodhuesit e pajisjeve për të koordinuar së bashku rregullimet për problemet e identifikuara. Arnimet tashmë janë lëshuar për hostap/wpa_supplicant. Përditësimet e paketës janë të disponueshme për Ubuntu. Debian, RHEL, SUSE/openSUSE, Arch, Fedora dhe FreeBSD ende kanë probleme të pazgjidhura.
Burimi: opennet.ru