Меті Ванхофом (Mathy Vanhoef), автор атаки KRACK на бездротові мережі, розкрив відомості про 12 уразливостей, що стосуються різних бездротових пристроїв. Виявлені проблеми представлені під кодовим ім'ям FragAttacks і охоплюють практично всі бездротові плати і точки доступу, що знаходяться в побуті — з протестованих 75 пристроїв, кожне було схильне як мінімум до одного із запропонованих методів атаки.
Проблеми розділені на дві категорії: 3 уразливості виявлені безпосередньо у стандартах Wi-Fi та охоплюють усі пристрої, що підтримують актуальні стандарти IEEE 802.11 (проблеми простежуються з 1997 року). 9 уразливостей стосуються помилок та недоробок у конкретних реалізаціях бездротових стеків. Основною небезпекою є друга категорія, оскільки організація атак на недоробки стандартів вимагає наявності специфічних налаштувань або виконання жертвою певних дій. Усі уразливості виявляються незалежно від використання протоколів для забезпечення безпеки Wi-Fi, у тому числі під час використання WPA3.
Більшість виявлених методів атак дозволяють зловмиснику здійснити підстановку L2-кадрів у захищеній мережі, що дає можливість вклинитися у трафік жертви. Як найбільш реалістичний сценарій атак згадується підміна відповідей DNS для направлення користувача на хост атакуючого. Також наводиться приклад використання вразливостей для обходу транслятора адрес на бездротовому маршрутизаторі та організації прямого доступу до пристрою в локальній мережі або ігнорування обмежень міжмережевого екрану. Друга частина вразливостей, пов'язана з обробкою фрагментованих кадрів, дає можливість витягти дані про трафік у бездротовій мережі та перехопити дані користувача, що передаються без використання шифрування.
Дослідником підготовлена демонстрація, що показує як можна використовувати вразливості для перехоплення пароля, переданого при зверненні до сайту за протоколом HTTP без шифрування. у локальній мережі, що мають невиправлені вразливості (наприклад, вдалося через обхід NAT атакувати неоновлений комп'ютер із Windows 7 у внутрішній мережі).
Для експлуатації вразливостей атакуючий повинен знаходитись у межах досяжності цільового бездротового пристрою, щоб відправити жертві спеціально оформлений набір кадрів. Проблеми зачіпають як клієнтські пристрої та бездротові карти, так і точки доступу та Wi-Fi маршрутизатори. Загалом як обхідні заходи захисту достатньо використання HTTPS у поєднанні з шифруванням DNS-трафіку за допомогою DNS over TLS або DNS over HTTPS. Для захисту також підходить застосування VPN.
Найбільш небезпечними називаються чотири вразливості в реалізаціях бездротових пристроїв, що дозволяють тривіальними методами домогтися підстановки своїх незашифрованих кадрів:
- Уразливості CVE-2020-26140 та CVE-2020-26143 допускають підстановку кадрів на деяких точках доступу та бездротових картах у Linux, Windows та FreeBSD.
- Вразливість VE-2020-26145 допускає обробку широкомовних незашифрованих фрагментів як повноцінних кадрів у macOS, iOS і FreeBSD і NetBSD.
- Вразливість CVE-2020-26144 дозволяє обробляти незашифровані перезібрані кадри A-MSDU з EtherType EAPOL у Huawei Y6, Nexus 5X, FreeBSD і LANCOM AP.
Інші вразливості у реалізаціях здебільшого пов'язані з проблемами, що виникають при обробці фрагментованих кадрів:
- CVE-2020-26139: допускає перенаправлення кадрів з прапором EAPOL, відправлених неавтентифікованим відправником (зачіпає 2/4 перевірених точок доступу, а також рішення на базі NetBSD та FreeBSD).
- CVE-2020-26146: допускає перескладання зашифрованих фрагментів без перевірки порядку номерів послідовності.
- CVE-2020-26147: дозволяє перескладання змішаних шифрованих та нешифрованих фрагментів.
- CVE-2020-26142: дозволяє обробляти фргментовані кадри як повні кадри (зачіпає OpenBSD та бездротовий модуль ESP12-F).
- CVE-2020-26141: відсутня перевірка TKIP MIC для фрагментованих кадрів.
Проблеми у специфікаціях:
- CVE-2020-24588 - атака на агреговані кадри (прапор "is aggregated" не захищений і може бути замінений атакуючим у кадрах A-MSDU в WPA, WPA2, WPA3 та WEP). Як приклад застосування атаки згадується перенаправлення користувача на шкідливий DNS-сервер або обхід NAT.
- CVE-2020-245870 – атака на змішування ключів (допускається перескладання фрагметів, зашифрованих з використанням різних ключів у WPA, WPA2, WPA3 та WEP). Атака дозволяє визначити дані, надіслані клієнтом, наприклад, визначити вміст cookie під час звернення по HTTP.
- CVE-2020-24586 — атака на кеш фрагментів (стандарти, що охоплюють WPA, WPA2, WPA3 і WEP, не вимагають видалення фрагментів, що вже осіли в кеші після нового підключення до мережі). Дозволяє визначити дані, надіслані клієнтом, та здійснити підстановку своїх даних.
Для тестування ступеня схильності до проблем своїх пристроїв підготовлений спеціальний інструментарій і готовий Live-образ для створення завантажувального USB-накопичувача. У Linux проблеми виявляються в бездротовій сітці mac80211, в окремих бездротових драйверах і прошивках, завантажуваних на бездротові плати. Для усунення вразливостей запропоновано набір патчів, що охоплює стек mac80211 та драйвери ath10k/ath11k. Деякі пристрої, такі як бездротові картки Intel, потребують додаткового оновлення прошивки.
Тести типових пристроїв:
Тести бездротових карт у Linux та Windows:
Тести бездротових карт у FreeBSD і NetBSD:
Виробники були повідомлені про проблеми ще 9 місяців тому. Такий тривалий період ембарго пояснюється скоординованою підготовкою оновлень та затримками під час підготовки змін специфікацій організаціями ICASI та Wi-Fi Alliance. Спочатку планувалося розкрити відомості 9 березня, але, зіставивши ризики, було вирішено відкласти публікацію ще на два місяці для того, щоб дати більше часу на підготовку патчів з урахуванням нетривіальності змін і труднощів, що виникають через пандемію COVID-19.
Примітно, що незважаючи на ембарго, компанія Microsoft у березневому оновленні Windows достроково усунула деякі вразливості. Розкриття інформації було відкладено за тиждень до початкового терміну і компанія Microsoft не встигла або не захотіла вносити зміни в готове для публікації планове оновлення, чим створила загрозу для користувачів інших систем, оскільки зловмисники могли отримати інформацію про вразливість через зворотний інжиніринг вмісту оновлень.
Джерело: opennet.ru