Незважаючи на те, що новий стандарт WPA3 ще до ладу не введений в експлуатацію, недоліки безпеки в цьому протоколі дозволяють зловмисникам зламати пароль Wi-Fi.
Протокол Wi-Fi Protected Access III (WPA3) був запущений у спробі усунути технічні недоліки протоколу WPA2, який тривалий час вважався небезпечним та вразливим для KRACK-атаки (Key Reinstallation Attack). Хоча WPA3 спирається на безпечніший рукостискання, відоме як Dragonfly, яке спрямоване на захист мереж Wi-Fi від автономних атак за словником (офлайн-перебір), дослідники безпеки Mathy Vanhoef і Eyal Ronen виявили слабкі місця в ранній реалізації WPA3-Personal, які можуть дозволити зловмиснику відновити Wi-Fi-паролі, зловживаючи таймінгами чи побічним кешем.
«Зловмисники можуть прочитати інформацію, яку, як передбачалося, WPA3 безпечно шифрує. Це може бути використане для крадіжки конфіденційної інформації, такої як номери кредитних карток, паролі, повідомлення чату, електронні листи тощо».
В опублікованому сьогодні , Названому DragonBlood, дослідники докладно розглянули два типи недоліків проектування в WPA3: перший веде до атак зі зниженням рейтингу, а другий - до витоків побічного кешу.
Атака побічному каналу на основі кешу
Алгоритм кодування пароля Dragonfly, також відомий як алгоритм «полювання і клювання» (hunting and pecking), містить умовні гілки. Якщо зловмисник може визначити, яка гілка гілки if-then-else була взята, він може дізнатися, чи знайдено елемент пароля в конкретній ітерації цього алгоритму. На практиці було виявлено, що якщо зловмисник може запустити непривілейований код на комп'ютері-жертві, можливо використовувати атаки на основі кешу, щоб визначити, яка галузь була зроблена в першій ітерації алгоритму генерації пароля. Ця інформація може бути використана для виконання атаки з поділом пароля (це схоже на автономну атаку за словником).
Ця вразливість відстежується за допомогою ідентифікатора CVE-2019-9494.
Захист полягає у заміні умовних гілок, які залежать від секретних значень, утилітами вибору із постійним часом. Реалізації повинні також використовувати обчислення із постійним часом.
Атака побічному каналу на основі синхронізації
Коли рукостискання Dragonfly використовує певні мультиплікативні групи, алгоритм кодування пароля використовує змінну кількість ітерацій кодування пароля. Точна кількість ітерацій залежить від використовуваного пароля та MAC-адреси точки доступу та клієнта. Зловмисник може виконати віддалену тимчасову атаку на алгоритм кодування пароля, щоб визначити скільки ітерацій знадобилося для кодування пароля. Відновлена інформація може бути використана для виконання парольної атаки, яка схожа на автономну словникову атаку.
Щоб запобігти атакі на основі синхронізації, реалізації повинні відключити вразливі мультиплікативні групи. З технічної точки зору групи MODP 22, 23 і 24 повинні бути відключені. Також рекомендується відключити групи MODP 1, 2 та 5.
Ця вразливість також відстежується за допомогою ідентифікатора CVE-2019-9494 через схожість реалізації атаки.
WPA3 downgrade
Оскільки 15-річний протокол WPA2 широко використовувався мільярдами пристроїв, широкого поширення WPA3 не відбудеться відразу. Для підтримки старих пристроїв сертифіковані WPA3 пристрої пропонують «перехідний режим роботи», який можна налаштувати для прийому з'єднань за допомогою WPA3-SAE, так і WPA2.
Дослідники вважають, що перехідний режим вразливий для атак зі зниженням рейтингу, які зловмисники можуть використовувати для створення шахрайської точки доступу, яка підтримує лише WPA2, що змушує пристрої, що підтримуються WPA3, підключатися за допомогою небезпечного чотиристороннього рукостискання WPA2.
"Ми також виявили атаку зі зниженням рейтингу проти самого рукостискання SAE ("Одночасна автентифікація рівних", зазвичай відомого як "Стрекоза"), де ми можемо змусити пристрій використовувати більш слабку еліптичну криву, ніж зазвичай", - кажуть дослідники.
Більше того, позиція «людина посередині» не потрібна для проведення атаки зі зниженням рейтингу. Натомість зловмисникам потрібно знати лише SSID мережі WPA3-SAE.
Дослідники повідомили про свої результати Wi-Fi Alliance, некомерційну організацію, яка сертифікує стандарти WiFi та продукти Wi-Fi на відповідність, які визнали проблеми та працюють з постачальниками для виправлення існуючих пристроїв, сертифікованих WPA3.
PoC (на момент публікації - 404)
Як підтвердження концепції дослідники незабаром випустять такі чотири окремих інструменти (у репозиторіях GitHub з гіперпосиланням нижче), які можна використовувати для перевірки вразливостей.
— інструмент, який може перевірити, якою мірою точка доступу вразлива для Dos-атак на рукостискання WPA3 Dragonfly.
- Експериментальний інструмент для проведення тимчасових атак проти рукостискання Dragonfly.
- Експериментальний інструмент, який отримує інформацію для відновлення після тимчасових атак і виконує парольну атаку.
- Інструмент, який здійснює атаки на EAP-pwd.
Сайт проекту -
Джерело: habr.com