Уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd

Мэти Вaнxoфoм (Mathy Vanhoef), aвтoр aтaки KRACK нa бeспрoвoдныe сeти с WPA2, и Эяль Рoнeн (Eyal Ronen), сoaвтoр нeкoтoрыx aтaк нa TLS, рaскрыли свeдeния o шeсти уязвимoстяx (CVE-2019-9494 - CVE-2019-9499) в тexнoлoгии зaщиты бeспрoвoдныx сeтeй WPA3, пoзвoляющиx вoссoздaть пaрoль пoдключeния и пoлучить дoступ к бeспрoвoднoй сeти бeз знaния пaрoля. Уязвимoсти oбъeдинeны пoд кoдoвым имeнeм Dragonblood и пoзвoляют скoмпрoмeтирoвaть мeтoд сoглaсoвaния сoeдинeний Dragonfly, прeдoстaвляющий защиту с подбора паролей в offline-режиме. Исключая WPA3 метод Dragonfly также применяется в целях защиты от словарного подбора в протоколе EAP-pwd, применяемом в Android, RADIUS-серверах и в hostapd/wpa_supplicant. В ходе исследования выявлено двум основных типа архитектурных проблем в WPA3. Что один типа проблем, в конечном счёте, могут применяться для воссоздания пароля доступа. Кардинальный тип позволяет совершить откат бери ненадёжные криптографические методы (downgrade attack): состояние для обеспечения совместимости с WPA2 (транзитный политическое устройство, допускающий использование WPA2 и WPA3) позволяют атакующему вынудить клиента нагнать применяемое WPA2 четырёхэтапное согласование соединений, ровно позволяет в дальнейшем использовать классические атаки сообразно подбору паролей, применимые к WPA2. Коме того, выявлена и запас совершения downgrade-атаки непосредственно в метод согласования соединений Dragonfly, позволяющей уйти на менее защищённые типы эллиптических кривых. Второстепенный тип проблем приводит к утечке сообразно сторонним каналам информации о характеристиках пароля и основан для недоработках метода кодирования пароля в Dragonfly, которые позволяют вдоль косвенным данным, таким как ухудшение задержек при выполнении операций, вспомнить исходный пароль. Применяемый в Dragonfly алгорифм преобразования хэша в эллиптическую кривую (hash-to-curve) оказался подвержен атакам помощью отслеживание оседания информации в процессорном кэше (cache attack), а алгорифм преобразования хэша в группу (hash-to-group) подвержен атакам с подачи измерение времени выполнения операций (timing attack). Угоду кому) совершения атак через анализ кэша атакующий ничего более не остается иметь возможность выполнения непривилегированного стих на системе пользователя, подключающегося к беспроводный сети. Оба метода дают шанец получить информацию, необходимую для уточнения правильности выбора частей пароля в процессе его подбора. Отдача атаки достаточно высока и позволяет подобрать под себя 8-символьный пароль, включающий символы в нижнем регистре, перехватив чем) 40 сеансов согласования соединения (handshake) и потратив запас, эквивалентные аренде мощностей Amazon EC2 получи 125 долларов. На основе выявленных уязвимостей предложено немножечко сценариев атак: Атака по откату нате WPA2 с возможностью проведения словарного подбора. В ситуации идеже клиент и точка доступа поддерживают вроде WPA3, так и WPA2, атакующий может развернуть собственную подставную точку доступа с тем а именем сети, которая поддерживает только лишь WPA2. В такой ситуации клиент применит естественный для WPA2 метод согласования подключения, в процессе которого брось определена недопустимость подобного отката, да на стадии, когда сообщения о согласовании канала ранее отправлены и вся необходимая для словарной атаки репортаж уже утекла. Более того, выявлено, что-что демон iwd, развиваем компанией Intel в качестве альтернативы wpa_supplicant, и беспроводный стек Samsung Galaxy S10 подвержены downgrade-атаке пусть даже в сетях, применяющих только WPA3 - иначе) будет то данные устройства до этого соединялись в WPA3-сетью, они попытаются соединиться с надувной сетью WPA2 с тем же именем. Набег по сторонним каналам с извлечением сведений с процессорного кэша. Полученная информация может прилагаться для выполнения поступательного подбора пароля, используя методы, одинаковые на совершения словарных offline-атак вдоль подбору паролей WPA2. В коде Dragonfly быть кодировании паролей применяется несколько мультипликативных групп (MODP) и переменное пи итераций, количество которых зависит ото используемого пароля и MAC-адреса точки доступа то есть (т. е.) клиента. Удалённый атакующий может детерминировать сколько итераций выполнено в ходе кодирования пароля и эксплуатировать их как признак при поступательном подборе пароля. Бис отказа в обслуживании. Атакующий может явиться помехой работу определённых функций точки доступа изо-за исчерпания доступных ресуросов минуя отправку большого числа запросов получи и распишись согласования канала связи. Для обхода предусмотренной в WPA3 защиты с флуда достаточно отправки запросов с фиктивных неповторяющихся MAC-адресов. Откат получай менее защищённые криптографические группы, используемые в процессе согласования соединений в WPA3. Скажем, если клиент поддерживает эллиптические кривые P-521 и P-256, и использует P-521 в качестве приоритетного варианта, ведь атакующий, независимо от поддержки P-521 получи стороне точки доступа, может заставить клиента к использованию P-256. Атака осуществляется как следует отсеивания некоторых сообщений в процессе согласования соединения и отправки поддельных сообщений с информацией об отсутствии поддержки определённых типов эллиптических кривых. В целях проверки устройств на наличие уязвимостей подготовлено одну крош скриптов с примерами совершения атак: Dragonslayer - воплощение атак на EAP-pwd; Dragondrain - утилита для того проверки подвеженности точек доступа уязвимости в реализации метода согласования соединений SAE (Simultaneous Authentication of Equals),, которую не возбраняется использовать для инициирования отказа в обслуживании; Dragontime - скрипт к проведения атаки по сторонним каналам в сравнении с чем SAE, учитывающей разницу во времени обработки операций рядом использовании групп MODP 22, 23 и 24; Dragonforce - обслуживающая программа для восстановления информации на основе сведений о разном времени обработки операций разве определения оседания данных в кэше и проведения словарного подбора пароля. Коалиция Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, объявило, чего проблема затрагивает ограниченное число ранних реализаций WPA3-Personal и может жить(-быть устранена через обновление прошивки и Соответственно (в том числе предложены патчи в (видах hostap/wpa_supplicant и обновление пакетов исполнение) Ubuntu). Фактов применения уязвимостей исполнение) совершения вредоносных действий пока отнюдь не зафиксировано. Проблемы связаны с некорректной реализацией определённых криптографических операций то есть (т. е.) применением недопустимых криптографических элементов, благодаря чего возникала утечка информации, которую допускается было использовать для совершения атаки в соответствии с сторонним каналам. Для усиления защиты Wi-Fi Alliance добавил в программу сертификации беспроводных устройств дополнительные тесты для того проверки корректности реализаций, а также связался с производителями устройств к совместной координации устранения выявленных проблем. Начало: http://www.opennet.ru/opennews/art.shtml?num=50493