Si Mathy Vanhoef, ang may-akda ng pag-atake ng KRACK sa mga wireless network na may WPA2, at si Eyal Ronen, ang co-author ng ilang mga pag-atake sa TLS, ay nagbunyag ng impormasyon tungkol sa anim na mga kahinaan (CVE-2019-9494 - CVE-2019-9499) sa teknolohiya proteksyon ng mga wireless network ng WPA3, na nagbibigay-daan sa iyong muling likhain ang password ng koneksyon at makakuha ng access sa wireless network nang hindi nalalaman ang password. Ang mga kahinaan ay pinagsama-samang may codenamed na Dragonblood at nagbibigay-daan sa paraan ng negosasyon sa koneksyon ng Dragonfly, na nagbibigay ng proteksyon laban sa offline na paghula ng password, na makompromiso. Bilang karagdagan sa WPA3, ang paraan ng Dragonfly ay ginagamit din upang maprotektahan laban sa paghula sa diksyunaryo sa EAP-pwd protocol na ginagamit sa Android, RADIUS server at hostapd/wpa_supplicant.
Tinukoy ng pag-aaral ang dalawang pangunahing uri ng mga problema sa arkitektura sa WPA3. Ang parehong uri ng mga problema ay maaaring magamit sa huli upang buuin muli ang password sa pag-access. Ang unang uri ay nagbibigay-daan sa iyo na bumalik sa hindi mapagkakatiwalaang mga pamamaraan ng cryptographic (pag-downgrade ng pag-atake): mga tool para sa pagtiyak ng pagiging tugma sa WPA2 (transit mode, na nagpapahintulot sa paggamit ng WPA2 at WPA3) na nagpapahintulot sa umaatake na pilitin ang kliyente na isagawa ang apat na hakbang na negosasyon sa koneksyon ginagamit ng WPA2, na nagbibigay-daan sa karagdagang paggamit ng mga klasikong brute-force attacks na mga password na naaangkop sa WPA2. Bilang karagdagan, natukoy ang posibilidad na magsagawa ng downgrade attack nang direkta sa paraan ng pagtutugma ng koneksyon ng Dragonfly, na nagpapahintulot sa isa na bumalik sa hindi gaanong secure na mga uri ng elliptic curve.
Ang pangalawang uri ng problema ay humahantong sa pagtagas ng impormasyon tungkol sa mga katangian ng password sa pamamagitan ng mga third-party na channel at batay sa mga bahid sa paraan ng pag-encode ng password sa Dragonfly, na nagpapahintulot sa hindi direktang data, tulad ng mga pagbabago sa mga pagkaantala sa panahon ng mga operasyon, na muling likhain ang orihinal na password . Ang algorithm ng hash-to-curve ng Dragonfly ay madaling kapitan ng mga pag-atake sa cache, at ang algorithm ng hash-to-group nito ay madaling kapitan ng mga pag-atake sa oras ng pagpapatupad. mga operasyon (timing attack).
Upang magsagawa ng mga pag-atake sa pag-cache mining, dapat na magawa ng attacker ang hindi magandang code sa system ng user na kumokonekta sa wireless network. Ang parehong mga pamamaraan ay ginagawang posible upang makuha ang impormasyong kinakailangan upang linawin ang tamang pagpili ng mga bahagi ng password sa panahon ng proseso ng pagpili ng password. Ang pagiging epektibo ng pag-atake ay medyo mataas at nagbibigay-daan sa iyong hulaan ang isang 8-character na password na may kasamang mga maliliit na character, na humahadlang lamang sa 40 session ng handshake at paggastos ng mga mapagkukunan na katumbas ng pag-upa sa kapasidad ng Amazon EC2 sa halagang $125.
Batay sa mga natukoy na kahinaan, ilang mga senaryo ng pag-atake ang iminungkahi:
- Rollback attack sa WPA2 na may kakayahang magsagawa ng pagpili ng diksyunaryo. Sa mga kapaligiran kung saan sinusuportahan ng kliyente at access point ang WPA3 at WPA2, maaaring mag-deploy ang isang attacker ng sarili nilang rogue access point na may parehong pangalan ng network na sumusuporta lang sa WPA2. Sa ganoong sitwasyon, gagamitin ng kliyente ang pamamaraan ng negosasyon sa koneksyon na katangian ng WPA2, kung saan matutukoy na ang naturang rollback ay hindi tinatanggap, ngunit ito ay gagawin sa yugto kung kailan naipadala na ang mga mensahe ng negosasyon sa channel at lahat ng impormasyong kinakailangan. para sa isang pag-atake sa diksyunaryo ay tumagas na. Maaaring gamitin ang isang katulad na paraan upang ibalik ang mga problemadong bersyon ng mga elliptic curve sa SAE.
Bilang karagdagan, natuklasan na ang iwd daemon, na binuo ng Intel bilang alternatibo sa wpa_supplicant, at ang Samsung Galaxy S10 wireless stack ay madaling kapitan ng pag-downgrade ng mga pag-atake kahit na sa mga network na gumagamit lamang ng WPA3 - kung ang mga device na ito ay dating nakakonekta sa isang WPA3 network , susubukan nilang kumonekta sa isang dummy WPA2 network na may parehong pangalan.
- Pag-atake sa side-channel na kumukuha ng impormasyon mula sa cache ng processor. Ang algorithm ng pag-encode ng password sa Dragonfly ay naglalaman ng conditional branching at isang attacker, na may pagkakataon na isagawa ang code sa system ng wireless user, ay maaaring, batay sa pagsusuri ng pag-uugali ng cache, matukoy kung alin sa mga bloke ng if-then-else expression ang pipiliin . Ang impormasyong nakuha ay maaaring magamit upang magsagawa ng progresibong paghula ng password gamit ang mga pamamaraan na katulad ng mga pag-atake sa offline na diksyunaryo sa mga password ng WPA2. Para sa proteksyon, iminungkahi na lumipat sa paggamit ng mga operasyon na may pare-parehong oras ng pagpapatupad, independiyente sa katangian ng data na pinoproseso;
- Pag-atake sa side-channel na may pagtatantya ng oras ng pagpapatupad ng operasyon. Gumagamit ang code ng Dragonfly ng maraming multiplicative group (MODP) upang mag-encode ng mga password at isang variable na bilang ng mga pag-ulit, ang bilang nito ay depende sa password na ginamit at ang MAC address ng access point o client. Maaaring matukoy ng isang malayuang umaatake kung gaano karaming mga pag-ulit ang isinagawa sa panahon ng pag-encode ng password at gamitin ang mga ito bilang indikasyon para sa progresibong paghula ng password.
- Pagtanggi ng tawag sa serbisyo. Maaaring harangan ng isang attacker ang pagpapatakbo ng ilang partikular na function ng access point dahil sa pagkaubos ng mga available na mapagkukunan sa pamamagitan ng pagpapadala ng malaking bilang ng mga kahilingan sa negosasyon sa channel ng komunikasyon. Upang i-bypass ang proteksyon sa baha na ibinigay ng WPA3, sapat na upang magpadala ng mga kahilingan mula sa kathang-isip, hindi umuulit na mga MAC address.
- Fallback sa hindi gaanong secure na mga cryptographic na grupo na ginagamit sa proseso ng negosasyon sa koneksyon ng WPA3. Halimbawa, kung sinusuportahan ng isang kliyente ang mga elliptic curve na P-521 at P-256, at ginagamit ang P-521 bilang priority na opsyon, kung gayon ang umaatake, anuman ang suporta
Ang P-521 sa gilid ng access point ay maaaring pilitin ang kliyente na gamitin ang P-256. Isinasagawa ang pag-atake sa pamamagitan ng pag-filter ng ilang mensahe sa panahon ng proseso ng negosasyon sa koneksyon at pagpapadala ng mga pekeng mensahe na may impormasyon tungkol sa kakulangan ng suporta para sa ilang uri ng elliptic curves.
Upang suriin ang mga device para sa mga kahinaan, ilang script ang inihanda na may mga halimbawa ng mga pag-atake:
- Dragonslayer - pagpapatupad ng mga pag-atake sa EAP-pwd;
- Ang Dragondrain ay isang utility para sa pagsuri sa kahinaan ng mga access point para sa mga kahinaan sa pagpapatupad ng pamamaraan ng negosasyon sa koneksyon ng SAE (Simultaneous Authentication of Equals), na maaaring magamit upang simulan ang pagtanggi sa serbisyo;
- Dragontime - isang script para sa pagsasagawa ng pag-atake sa side-channel laban sa SAE, na isinasaalang-alang ang pagkakaiba sa oras ng pagproseso ng mga operasyon kapag gumagamit ng mga grupo ng MODP 22, 23 at 24;
- Ang Dragonforce ay isang utility para sa pagbawi ng impormasyon (paghula ng password) batay sa impormasyon tungkol sa iba't ibang oras ng pagproseso ng mga operasyon o pagtukoy sa pagpapanatili ng data sa cache.
Ang Wi-Fi Alliance, na bumubuo ng mga pamantayan para sa mga wireless network, ay nag-anunsyo na ang problema ay nakakaapekto sa isang limitadong bilang ng mga maagang pagpapatupad ng WPA3-Personal at maaaring ayusin sa pamamagitan ng firmware at software update. Walang naitala na mga kaso ng mga kahinaan na ginagamit upang magsagawa ng mga malisyosong aksyon. Upang palakasin ang seguridad, nagdagdag ang Wi-Fi Alliance ng mga karagdagang pagsubok sa programa ng certification ng wireless device upang i-verify ang kawastuhan ng mga pagpapatupad, at nakipag-ugnayan din sa mga manufacturer ng device upang magkatuwang na i-coordinate ang paglutas ng mga natukoy na problema. Ang mga patch ay nailabas na para sa hostap/wpa_supplicant. Available ang mga update sa package para sa Ubuntu. Ang Debian, RHEL, SUSE/openSUSE, Arch, Fedora at FreeBSD ay mayroon pa ring hindi naayos na mga isyu.
Pinagmulan: opennet.ru