Mathy Vanhoef ผู้เขียนการโจมตี KRACK บนเครือข่ายไร้สายด้วย WPA2 และ Eyal Ronen ผู้เขียนร่วมของการโจมตี TLS บางส่วน เปิดเผยข้อมูลเกี่ยวกับช่องโหว่ 2019 รายการ (CVE-9494-2019 - CVE-9499-3) ในเทคโนโลยี การป้องกันเครือข่ายไร้สาย WPA3 ช่วยให้คุณสร้างรหัสผ่านการเชื่อมต่อใหม่และเข้าถึงเครือข่ายไร้สายโดยไม่ต้องรู้รหัสผ่าน ช่องโหว่ดังกล่าวมีชื่อรหัสรวมกันว่า Dragonblood และอนุญาตให้วิธีการเจรจาการเชื่อมต่อ Dragonfly ซึ่งให้การป้องกันการเดารหัสผ่านออฟไลน์ถูกโจมตี นอกจาก WPAXNUMX แล้ว วิธี Dragonfly ยังใช้เพื่อป้องกันการเดาพจนานุกรมในโปรโตคอล EAP-pwd ที่ใช้ใน Android, เซิร์ฟเวอร์ RADIUS และ hostapd/wpa_supplicant
การศึกษาระบุปัญหาทางสถาปัตยกรรมสองประเภทหลักใน WPA3 ปัญหาทั้งสองประเภทสามารถนำมาใช้เพื่อสร้างรหัสผ่านการเข้าถึงใหม่ได้ในที่สุด ประเภทแรกช่วยให้คุณสามารถย้อนกลับไปใช้วิธีการเข้ารหัสที่ไม่น่าเชื่อถือ (การโจมตีแบบดาวน์เกรด): เครื่องมือสำหรับการรับรองความเข้ากันได้กับ WPA2 (โหมดการขนส่งที่อนุญาตให้ใช้ WPA2 และ WPA3) ช่วยให้ผู้โจมตีสามารถบังคับให้ไคลเอนต์ดำเนินการเจรจาการเชื่อมต่อสี่ขั้นตอน ใช้โดย WPA2 ซึ่งอนุญาตให้ใช้รหัสผ่านการโจมตีแบบ brute-force แบบคลาสสิกเพิ่มเติมที่ใช้ได้กับ WPA2 นอกจากนี้ ยังมีการระบุความเป็นไปได้ในการดำเนินการดาวน์เกรดการโจมตีโดยตรงด้วยวิธีจับคู่การเชื่อมต่อ Dragonfly ซึ่งช่วยให้สามารถย้อนกลับไปใช้เส้นโค้งรูปไข่ประเภทที่มีความปลอดภัยน้อยกว่าได้
ปัญหาประเภทที่สองนำไปสู่การรั่วไหลของข้อมูลเกี่ยวกับลักษณะรหัสผ่านผ่านช่องทางบุคคลที่สามและขึ้นอยู่กับข้อบกพร่องในวิธีการเข้ารหัสรหัสผ่านใน Dragonfly ซึ่งอนุญาตให้มีข้อมูลทางอ้อมเช่นการเปลี่ยนแปลงความล่าช้าระหว่างการดำเนินการเพื่อสร้างรหัสผ่านเดิมขึ้นมาใหม่ . อัลกอริธึมแฮชต่อโค้งของ Dragonfly นั้นไวต่อการโจมตีแคชและอัลกอริธึมแฮชต่อกลุ่มของมันไวต่อการโจมตีตามเวลาดำเนินการ การดำเนินการ (การโจมตีตามกำหนดเวลา)
หากต้องการโจมตีด้วยการขุดแคช ผู้โจมตีจะต้องสามารถรันโค้ดที่ไม่มีสิทธิพิเศษบนระบบของผู้ใช้ที่เชื่อมต่อกับเครือข่ายไร้สายได้ ทั้งสองวิธีทำให้สามารถรับข้อมูลที่จำเป็นเพื่อชี้แจงการเลือกส่วนต่างๆ ของรหัสผ่านที่ถูกต้องในระหว่างกระบวนการเลือกรหัสผ่าน ประสิทธิผลของการโจมตีค่อนข้างสูงและช่วยให้คุณสามารถเดารหัสผ่าน 8 ตัวอักษรที่มีอักขระตัวพิมพ์เล็ก สกัดกั้นเซสชันแฮนด์เชคเพียง 40 เซสชัน และใช้ทรัพยากรเทียบเท่ากับการเช่าความจุของ Amazon EC2 ในราคา 125 ดอลลาร์
จากช่องโหว่ที่ระบุ มีการเสนอสถานการณ์การโจมตีหลายรูปแบบ:
- ย้อนกลับการโจมตี WPA2 พร้อมความสามารถในการเลือกพจนานุกรม ในสภาพแวดล้อมที่ไคลเอนต์และจุดเข้าใช้งานรองรับทั้ง WPA3 และ WPA2 ผู้โจมตีสามารถปรับใช้จุดเข้าใช้งานปลอมของตนเองด้วยชื่อเครือข่ายเดียวกันที่รองรับเฉพาะ WPA2 เท่านั้น ในสถานการณ์เช่นนี้ ลูกค้าจะใช้ลักษณะวิธีการเจรจาการเชื่อมต่อของ WPA2 ซึ่งในระหว่างนั้นจะถูกพิจารณาว่าไม่สามารถยอมรับการย้อนกลับดังกล่าวได้ แต่จะดำเนินการในขั้นตอนเมื่อมีการส่งข้อความการเจรจาช่องสัญญาณและข้อมูลทั้งหมดที่จำเป็น สำหรับการโจมตีด้วยพจนานุกรมได้รั่วไหลออกมาแล้ว วิธีการที่คล้ายกันนี้สามารถใช้ในการย้อนกลับเส้นโค้งวงรีเวอร์ชันที่มีปัญหาใน SAE
นอกจากนี้ ยังพบว่า iwd daemon ซึ่งพัฒนาโดย Intel เป็นทางเลือกแทน wpa_supplicant และสแต็กไร้สายของ Samsung Galaxy S10 นั้นมีความเสี่ยงที่จะดาวน์เกรดการโจมตีแม้ในเครือข่ายที่ใช้ WPA3 เท่านั้น - หากอุปกรณ์เหล่านี้เคยเชื่อมต่อกับเครือข่าย WPA3 ก่อนหน้านี้ พวกเขาจะพยายามเชื่อมต่อกับเครือข่าย WPA2 จำลองที่มีชื่อเดียวกัน
- การโจมตีช่องทางด้านข้างที่ดึงข้อมูลจากแคชของโปรเซสเซอร์ อัลกอริธึมการเข้ารหัสรหัสผ่านใน Dragonfly ประกอบด้วยการแยกย่อยแบบมีเงื่อนไขและผู้โจมตีซึ่งมีความสามารถในการรันโค้ดบนระบบของผู้ใช้ไร้สาย สามารถกำหนดได้ว่าบล็อกนิพจน์ if-then-else ใดจะถูกเลือก โดยขึ้นอยู่กับการวิเคราะห์พฤติกรรมแคช ข้อมูลที่ได้รับสามารถนำมาใช้ในการคาดเดารหัสผ่านแบบก้าวหน้าโดยใช้วิธีการที่คล้ายกับการโจมตีด้วยพจนานุกรมออฟไลน์กับรหัสผ่าน WPA2 เพื่อการป้องกัน เสนอให้เปลี่ยนไปใช้การดำเนินการที่มีเวลาดำเนินการคงที่ โดยไม่ขึ้นกับลักษณะของข้อมูลที่กำลังประมวลผล
- การโจมตีช่องทางด้านข้างพร้อมการประมาณเวลาดำเนินการปฏิบัติการ รหัสของ Dragonfly ใช้กลุ่มการคูณหลายกลุ่ม (MODP) เพื่อเข้ารหัสรหัสผ่านและจำนวนการวนซ้ำที่หลากหลาย ซึ่งจำนวนนั้นขึ้นอยู่กับรหัสผ่านที่ใช้และที่อยู่ MAC ของจุดเข้าใช้งานหรือไคลเอนต์ ผู้โจมตีจากระยะไกลสามารถระบุจำนวนการวนซ้ำที่เกิดขึ้นระหว่างการเข้ารหัสรหัสผ่าน และใช้เป็นตัวบ่งชี้ในการคาดเดารหัสผ่านแบบก้าวหน้า
- ปฏิเสธการให้บริการโทร. ผู้โจมตีสามารถบล็อกการทำงานของฟังก์ชันบางอย่างของจุดเข้าใช้งานเนื่องจากทรัพยากรที่มีอยู่หมดโดยการส่งคำขอเจรจาช่องทางการสื่อสารจำนวนมาก หากต้องการเลี่ยงการป้องกันน้ำท่วมโดย WPA3 การส่งคำขอจากที่อยู่ MAC ที่ไม่ซ้ำและไม่ซ้ำก็เพียงพอแล้ว
- สำรองไปยังกลุ่มการเข้ารหัสที่มีความปลอดภัยน้อยกว่าที่ใช้ในกระบวนการเจรจาการเชื่อมต่อ WPA3 ตัวอย่างเช่น หากไคลเอนต์รองรับเส้นโค้งวงรี P-521 และ P-256 และใช้ P-521 เป็นตัวเลือกลำดับความสำคัญ ผู้โจมตีจะเป็นผู้โจมตีโดยไม่คำนึงถึงการสนับสนุน
P-521 ที่ด้านจุดเข้าใช้งานสามารถบังคับให้ไคลเอ็นต์ใช้ P-256 การโจมตีจะดำเนินการโดยการกรองข้อความบางส่วนออกในระหว่างขั้นตอนการเจรจาการเชื่อมต่อ และการส่งข้อความปลอมพร้อมข้อมูลเกี่ยวกับการขาดการสนับสนุนสำหรับเส้นโค้งรูปไข่บางประเภท
เพื่อตรวจสอบช่องโหว่ของอุปกรณ์ มีการจัดเตรียมสคริปต์หลายตัวพร้อมตัวอย่างการโจมตี:
- Dragonslayer - การดำเนินการโจมตี EAP-pwd;
- Dragondrain เป็นยูทิลิตี้สำหรับตรวจสอบช่องโหว่ของจุดเข้าใช้งานเพื่อหาช่องโหว่ในการใช้งานวิธีการเจรจาการเชื่อมต่อ SAE (Simultaneous Authentication of Equals) ซึ่งสามารถใช้เพื่อเริ่มต้นการปฏิเสธการให้บริการ
- Dragontime - สคริปต์สำหรับดำเนินการโจมตีช่องทางด้านข้างกับ SAE โดยคำนึงถึงความแตกต่างในการประมวลผลเวลาดำเนินการเมื่อใช้กลุ่ม MODP 22, 23 และ 24
- Dragonforce เป็นโปรแกรมอรรถประโยชน์สำหรับการกู้คืนข้อมูล (การเดารหัสผ่าน) โดยอิงตามข้อมูลเกี่ยวกับเวลาการประมวลผลที่แตกต่างกันของการดำเนินการหรือการกำหนดการเก็บรักษาข้อมูลในแคช
Wi-Fi Alliance ซึ่งพัฒนามาตรฐานสำหรับเครือข่ายไร้สาย ประกาศว่าปัญหาดังกล่าวส่งผลกระทบต่อการใช้งาน WPA3-Personal ในช่วงแรกจำนวนจำกัด และสามารถแก้ไขได้ผ่านการอัพเดตเฟิร์มแวร์และซอฟต์แวร์ ไม่มีกรณีที่มีการบันทึกเอกสารเกี่ยวกับช่องโหว่ที่ใช้ในการดำเนินการที่เป็นอันตราย เพื่อเสริมสร้างความปลอดภัย Wi-Fi Alliance ได้เพิ่มการทดสอบเพิ่มเติมในโปรแกรมการรับรองอุปกรณ์ไร้สายเพื่อตรวจสอบความถูกต้องของการใช้งาน และยังติดต่อผู้ผลิตอุปกรณ์เพื่อร่วมกันประสานงานการแก้ไขปัญหาสำหรับปัญหาที่ระบุ โปรแกรมปรับปรุงได้รับการเผยแพร่แล้วสำหรับ hostap/wpa_supplicant มีการอัปเดตแพ็คเกจสำหรับ Ubuntu Debian, RHEL, SUSE/openSUSE, Arch, Fedora และ FreeBSD ยังคงมีปัญหาที่ไม่ได้รับการแก้ไข
ที่มา: opennet.ru