Mathy Vanhoef, författaren till KRACK-attacken på trådlösa nätverk med WPA2, och Eyal Ronen, medförfattaren till några attacker mot TLS, avslöjade information om sex sårbarheter (CVE-2019-9494 - CVE-2019-9499) i tekniken skydd av trådlösa WPA3-nätverk, så att du kan återskapa anslutningslösenordet och få tillgång till det trådlösa nätverket utan att veta lösenordet. Sårbarheterna har det kollektiva kodnamnet Dragonblood och gör att Dragonfly-anslutningsförhandlingsmetoden, som ger skydd mot offline-gissning av lösenord, äventyras. Förutom WPA3 används Dragonfly-metoden även för att skydda mot ordboksgissning i EAP-pwd-protokollet som används i Android, RADIUS-servrar och hostapd/wpa_supplicant.
Studien identifierade två huvudtyper av arkitektoniska problem i WPA3. Båda typerna av problem kan i slutändan användas för att rekonstruera åtkomstlösenordet. Den första typen låter dig rulla tillbaka till opålitliga kryptografiska metoder (nedgraderingsattack): verktyg för att säkerställa kompatibilitet med WPA2 (transitläge, tillåter användning av WPA2 och WPA3) tillåter angriparen att tvinga klienten att utföra anslutningsförhandlingen i fyra steg används av WPA2, vilket tillåter ytterligare användning av klassiska brute-force attack-lösenord som är tillämpliga på WPA2. Dessutom har möjligheten att utföra en nedgraderingsattack direkt på Dragonfly-anslutningsmatchningsmetoden identifierats, vilket gör att man kan rulla tillbaka till mindre säkra typer av elliptiska kurvor.
Den andra typen av problem leder till läckage av information om lösenordsegenskaper genom tredje parts kanaler och är baserad på brister i lösenordskodningsmetoden i Dragonfly, som gör att indirekta data, såsom förändringar i förseningar under operationer, kan återskapa det ursprungliga lösenordet . Dragonflys hash-till-kurva-algoritm är mottaglig för cache-attacker, och dess hash-till-grupp-algoritm är mottaglig för exekveringstidsattacker (timing attack).
För att utföra cachemining-attacker måste angriparen kunna exekvera oprivilegierad kod på systemet för användaren som ansluter till det trådlösa nätverket. Båda metoderna gör det möjligt att erhålla den information som behövs för att klargöra det korrekta valet av delar av lösenordet under lösenordsvalsprocessen. Attackens effektivitet är ganska hög och låter dig gissa ett 8-teckens lösenord som innehåller gemener, avlyssnar endast 40 handskakningssessioner och spenderar resurser motsvarande att hyra Amazon EC2-kapacitet för $125.
Baserat på de identifierade sårbarheterna har flera attackscenarier föreslagits:
- Återställningsattack på WPA2 med möjlighet att utföra ordboksval. I miljöer där klienten och åtkomstpunkten stöder både WPA3 och WPA2, kan en angripare distribuera sin egen falska åtkomstpunkt med samma nätverksnamn som bara stöder WPA2. I en sådan situation kommer klienten att använda anslutningsförhandlingsmetoden som är karakteristisk för WPA2, under vilken det kommer att fastställas att en sådan återställning är otillåten, men detta kommer att göras i det skede när kanalförhandlingsmeddelanden har skickats och all nödvändig information för en ordboksattack har redan läckt ut. En liknande metod kan användas för att rulla tillbaka problematiska versioner av elliptiska kurvor i SAE.
Dessutom upptäcktes att iwd-demonen, utvecklad av Intel som ett alternativ till wpa_supplicant, och den trådlösa stacken Samsung Galaxy S10 är känsliga för nedgraderingsattacker även i nätverk som bara använder WPA3 - om dessa enheter tidigare var anslutna till ett WPA3-nätverk , kommer de att försöka ansluta till ett dummy WPA2-nätverk med samma namn.
- Sidokanalsattack som extraherar information från processorns cache. Lösenordskodningsalgoritmen i Dragonfly innehåller villkorlig förgrening och en angripare, som har möjlighet att exekvera koden på den trådlösa användarens system, kan, baserat på en analys av cachebeteendet, bestämma vilket av if-then-else uttrycksblocken som väljs . Informationen som erhålls kan användas för att utföra progressiv lösenordsgissning med metoder som liknar offline-ordboksattacker på WPA2-lösenord. För skydd föreslås det att övergå till att använda operationer med konstant utförandetid, oberoende av vilken typ av data som behandlas;
- Sidokanalattack med uppskattning av drifttid. Dragonflys kod använder multipla multiplicative groups (MODP) för att koda lösenord och ett varierande antal iterationer, vars antal beror på lösenordet som används och MAC-adressen för åtkomstpunkten eller klienten. En fjärrangripare kan avgöra hur många iterationer som utfördes under lösenordskodning och använda dem som en indikation för progressiv lösenordsgissning.
- Denial of service samtal. En angripare kan blockera driften av vissa funktioner hos åtkomstpunkten på grund av uttömning av tillgängliga resurser genom att skicka ett stort antal förfrågningar om kommunikationskanaler. För att kringgå översvämningsskyddet som tillhandahålls av WPA3 räcker det att skicka förfrågningar från fiktiva, icke-repeterande MAC-adresser.
- Fallback till mindre säkra kryptografiska grupper som används i WPA3-anslutningsförhandlingsprocessen. Till exempel, om en klient stöder elliptiska kurvor P-521 och P-256, och använder P-521 som prioritetsalternativ, då angriparen, oavsett support
P-521 på åtkomstpunktssidan kan tvinga klienten att använda P-256. Attacken utförs genom att filtrera bort vissa meddelanden under anslutningsförhandlingsprocessen och skicka falska meddelanden med information om bristen på stöd för vissa typer av elliptiska kurvor.
För att kontrollera enheter för sårbarheter har flera skript utarbetats med exempel på attacker:
- Dragonslayer - implementering av attacker mot EAP-pwd;
- Dragondrain är ett verktyg för att kontrollera sårbarheten hos åtkomstpunkter för sårbarheter i implementeringen av SAE (Simultaneous Authentication of Equals) anslutningsförhandlingsmetoden, som kan användas för att initiera ett överbelastningsskydd;
- Dragontime - ett skript för att utföra en sidokanalattack mot SAE, med hänsyn till skillnaden i bearbetningstid för operationer vid användning av MODP-grupperna 22, 23 och 24;
- Dragonforce är ett verktyg för att återställa information (lösenordsgissning) baserat på information om olika bearbetningstider för operationer eller bestämma lagringen av data i cachen.
Wi-Fi Alliance, som utvecklar standarder för trådlösa nätverk, meddelade att problemet påverkar ett begränsat antal tidiga implementeringar av WPA3-Personal och kan fixas genom en firmware- och mjukvaruuppdatering. Det har inte funnits några dokumenterade fall av sårbarheter som använts för att utföra skadliga åtgärder. För att stärka säkerheten har Wi-Fi Alliance lagt till ytterligare tester till certifieringsprogrammet för trådlösa enheter för att verifiera riktigheten av implementeringar, och har även kontaktat enhetstillverkare för att gemensamt koordinera korrigeringar för identifierade problem. Patchar har redan släppts för hostap/wpa_supplicant. Paketuppdateringar är tillgängliga för Ubuntu. Debian, RHEL, SUSE/openSUSE, Arch, Fedora och FreeBSD har fortfarande problem ofixade.
Källa: opennet.ru