尽管新的 WPA3 标准尚未完全实施,但该协议中的安全缺陷允许攻击者破解 Wi-Fi 密码。
Wi-Fi 保护访问 III (WPA3) 的推出是为了解决 WPA2 协议的技术缺陷,该协议长期以来被认为不安全且容易受到 KRACK(密钥重新安装攻击)的影响。 尽管 WPA3 依赖于更安全的握手方式 Dragonfly,旨在保护 Wi-Fi 网络免受离线字典攻击(离线暴力),但安全研究人员 Mathy Vanhoef 和 Eyal Ronen 发现了 WPA3-Personal 早期实施中的弱点,可能导致攻击者通过滥用时序或侧面缓存来恢复 Wi-Fi 密码。
“攻击者可以读取 WPA3 应该安全加密的信息。 这可用于窃取敏感信息,例如信用卡号、密码、聊天消息、电子邮件等。”
今天发布 在名为 DragonBlood 的项目中,研究人员仔细研究了 WPA3 中的两种设计缺陷:第一个导致降级攻击,第二个导致侧缓存泄漏。
基于缓存的侧通道攻击
Dragonfly的密码编码算法,也称为狩猎啄食算法,包含条件分支。 如果攻击者可以确定采用 if-then-else 分支的哪个分支,他就可以查明是否在该算法的特定迭代中找到了密码元素。 在实践中,已经发现,如果攻击者可以在受害者计算机上运行非特权代码,则可以使用基于缓存的攻击来确定在密码生成算法的第一次迭代中尝试了哪个分支。 此信息可用于执行密码拆分攻击(这类似于离线字典攻击)。
正在使用 CVE-2019-9494 跟踪此漏洞。
防御包括用恒定时间选择实用程序替换依赖于秘密值的条件分支。 实现还必须使用计算 以恒定的时间。
基于同步的旁路攻击
当 Dragonfly 握手使用某些乘法组时,密码编码算法使用可变次数的迭代来对密码进行编码。 确切的迭代次数取决于所使用的密码以及接入点和客户端的 MAC 地址。 攻击者可以对密码编码算法执行远程定时攻击,以确定对密码进行编码需要多少次迭代。 恢复的信息可用于执行密码攻击,这类似于离线字典攻击。
为了防止定时攻击,实现应禁用易受攻击的乘法群。 从技术角度来看,MODP组22、23和24应该被禁用。 还建议禁用 MODP 组 1、2 和 5。
由于攻击实施方式相似,该漏洞也使用 CVE-2019-9494 进行跟踪。
WPA3降级
由于已有 15 年历史的 WPA2 协议已被数十亿设备广泛使用,WPA3 的广泛采用不会一蹴而就。 为了支持较旧的设备,WPA3 认证的设备提供了“过渡操作模式”,可以将其配置为接受使用 WPA3-SAE 和 WPA2 的连接。
研究人员认为,瞬态模式容易受到降级攻击,攻击者可以利用降级攻击创建仅支持 WPA2 的恶意接入点,迫使启用 WPA3 的设备使用不安全的 WPA2 四向握手进行连接。
研究人员表示:“我们还发现了针对 SAE(对等体同步认证,俗称 Dragonfly)握手本身的降级攻击,我们可以强制设备使用比正常情况更弱的椭圆曲线。”
而且,不需要中间人位置来进行降级攻击。 相反,攻击者只需要知道 WPA3-SAE 网络的 SSID。
研究人员向 Wi-Fi 联盟报告了他们的发现,Wi-Fi 联盟是一个对 WiFi 标准和 Wi-Fi 产品合规性进行认证的非营利组织,该组织已经承认了这些问题,并正在与供应商合作修复现有的 WPA3 认证设备。
PoC(发布时为 404)
作为概念验证,研究人员将很快发布以下四个可用于测试漏洞的独立工具(在下面超链接的 GitHub 存储库中)。
是一个工具,可以测试接入点对 WPA3 Dragonfly 握手的 Dos 攻击的脆弱程度。
- 对蜻蜓握手执行定时攻击的实验工具。
是一个实验工具,可以从定时攻击中获取恢复信息并执行密码攻击。
- 对 EAP-pwd 进行攻击的工具。
项目网站——
来源: habr.com