The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd

11.04.2019 13:44

Мэти Ванхофом (Mathy Vanhoef), автор атаки KRACK на беспроводные сети с WPA2, и Эяль Ронен (Eyal Ronen), соавтор некоторых атак на TLS, раскрыли сведения о шести уязвимостях (CVE-2019-9494 - CVE-2019-9499) в технологии защиты беспроводных сетей WPA3, позволяющих воссоздать пароль подключения и получить доступ к беспроводной сети без знания пароля. Уязвимости объединены под кодовым именем Dragonblood и позволяют скомпрометировать метод согласования соединений Dragonfly, предоставляющий защиту от подбора паролей в offline-режиме. Кроме WPA3 метод Dragonfly также применяется для защиты от словарного подбора в протоколе EAP-pwd, применяемом в Android, RADIUS-серверах и в hostapd/wpa_supplicant.

В ходе исследования выявлено два основных типа архитектурных проблем в WPA3. Оба типа проблем, в конечном счёте, могут использоваться для воссоздания пароля доступа. Первый тип позволяет совершить откат на ненадёжные криптографические методы (downgrade attack): средства для обеспечения совместимости с WPA2 (транзитный режим, допускающий использование WPA2 и WPA3) позволяют атакующему вынудить клиента выполнить применяемое WPA2 четырёхэтапное согласование соединений, что позволяет в дальнейшем использовать классические атаки по подбору паролей, применимые к WPA2. Кроме того, выявлена и возможность совершения downgrade-атаки непосредственно на метод согласования соединений Dragonfly, позволяющей откатиться на менее защищённые типы эллиптических кривых.

Второй тип проблем приводит к утечке по сторонним каналам информации о характеристиках пароля и основан на недоработках метода кодирования пароля в Dragonfly, которые позволяют по косвенным данным, таким как изменение задержек при выполнении операций, воссоздать исходный пароль. Применяемый в Dragonfly алгоритм преобразования хэша в эллиптическую кривую (hash-to-curve) оказался подвержен атакам через отслеживание оседания информации в процессорном кэше (cache attack), а алгоритм преобразования хэша в группу (hash-to-group) подвержен атакам через измерение времени выполнения операций (timing attack).

Для совершения атак через анализ кэша атакующий должен иметь возможность выполнения непривилегированного кода на системе пользователя, подключающегося к беспроводной сети. Оба метода дают возможность получить информацию, необходимую для уточнения правильности выбора частей пароля в процессе его подбора. Эффективность атаки достаточно высока и позволяет подобрать 8-символьный пароль, включающий символы в нижнем регистре, перехватив всего 40 сеансов согласования соединения (handshake) и потратив ресурсы, эквивалентные аренде мощностей Amazon EC2 на 125 долларов.

На основе выявленных уязвимостей предложено несколько сценариев атак:

  • Атака по откату на WPA2 с возможностью проведения словарного подбора. В условиях когда клиент и точка доступа поддерживают как WPA3, так и WPA2, атакующий может развернуть собственную подставную точку доступа с тем же именем сети, которая поддерживает только WPA2. В такой ситуации клиент применит свойственный для WPA2 метод согласования подключения, в процессе которого будет определена недопустимость подобного отката, но сделано это будет на стадии, когда сообщения о согласовании канала отправлены и вся необходимая для словарной атаки информация уже утекла. Похожий метод применим и для отката на проблемные версии эллиптических кривых в SAE.

    Кроме того, выявлено, что демон iwd, развиваемом компанией Intel в качестве альтернативы wpa_supplicant, и беспроводной стек Samsung Galaxy S10 подвержены downgrade-атаке даже в сетях, применяющих только WPA3 - если данные устройства до этого соединялись с WPA3-сетью, они попытаются соединиться с подставной сетью WPA2 с тем же именем.

  • Атака по сторонним каналам с извлечением сведений из процессорного кэша. Алгоритм кодирования паролей в Dragonfly содержит условное ветвление и атакующий, имея возможность выполнить код в системе пользователя беспроводной сети, может на основе анализа поведения кэша определить какой выбран из блоков выражения if-then-else. Полученная информация может применяться для выполнения поступательного подбора пароля, используя методы, похожие на совершения словарных offline-атак по подбору паролей WPA2. Для защиты предлагается перейти на использование операций с постоянным временем выполнения, не зависящим от характера обрабатываемых данных;
  • Атака по сторонним каналам с оценкой времени выполнения операций. В коде Dragonfly при кодировании паролей применяется несколько мультипликативных групп (MODP) и переменное число итераций, количество которых зависит от используемого пароля и MAC-адреса точки доступа или клиента. Удалённый атакующий может определить сколько итераций выполнено в ходе кодирования пароля и использовать их как признак при поступательном подборе пароля.
  • Вызов отказа в обслуживании. Атакующий может заблокировать работу определённых функций точки доступа из-за исчерпания доступных ресурсов через отправку большого числа запросов согласования канала связи. Для обхода предусмотренной в WPA3 защиты от флуда достаточно отправки запросов с фиктивных неповторяющихся MAC-адресов.
  • Откат на менее защищённые криптографические группы, используемые в процессе согласования соединений в WPA3. Например, если клиент поддерживает эллиптические кривые P-521 и P-256, и использует P-521 в качестве приоритетного варианта, то атакующий, независимо от поддержки P-521 на стороне точки доступа, может принудить клиента к использованию P-256. Атака осуществляется путём отсеивания некоторых сообщений в процессе согласования соединения и отправки поддельных сообщений с информацией об отсутствии поддержки определённых типов эллиптических кривых.

Для проверки устройств на наличие уязвимостей подготовлено несколько скриптов с примерами совершения атак:

  • Dragonslayer - реализация атак на EAP-pwd;
  • Dragondrain - утилита для проверки подвеженности точек доступа уязвимости в реализации метода согласования соединений SAE (Simultaneous Authentication of Equals), которую можно использовать для инициирования отказа в обслуживании;
  • Dragontime - скрипт для проведения атаки по сторонним каналам против SAE, учитывающей разницу во времени обработки операций при использовании групп MODP 22, 23 и 24;
  • Dragonforce - утилита для восстановления информации (подбор пароля) на основе сведений о разном времени обработки операций или определения оседания данных в кэше.

Объединение Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, объявило, что проблема затрагивает ограниченное число ранних реализаций WPA3-Personal и может быть устранена через обновление прошивки и ПО. Фактов применения уязвимостей для совершения вредоносных действий пока не зафиксировано. Для усиления защиты Wi-Fi Alliance добавил в программу сертификации беспроводных устройств дополнительные тесты для проверки корректности реализаций, а также связался с производителями устройств для совместной координации устранения выявленных проблем. Патчи с устранением проблем уже выпущены для hostap/wpa_supplicant. Обновления пакетов доступны для Ubuntu. В Debian, RHEL, SUSE/openSUSE, Arch, Fedora и FreeBSD проблемы пока остаются неисправленными.

  1. Главная ссылка к новости (https://www.wi-fi.org/news-eve...)
  2. OpenNews: Новая техника атаки на беспроводные сети с WPA2
  3. OpenNews: Опубликована технология защиты беспроводных сетей WPA3
  4. OpenNews: Атака против WPA2, позволяющая перехватить трафик в WiFi-сети
  5. OpenNews: Критическая уязвимость в wpa_supplicant, компоненте для подключения к беспроводным сетям
  6. OpenNews: Техника канальной MITM-атаки через наводнение эфира беспроводной сети
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50493-wpa3
Ключевые слова: wpa3, wifi, wpa
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:02, 11/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Ждем WPA4?
     
     
  • 2.20, Аноним (20), 15:43, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Там также будет откат до WPA3, который с откатом до WPA2...
     
  • 2.24, Аноним (24), 16:52, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    нужен-новый-единый-стандарт-упс.jpg
     
  • 2.37, VINRARUS (ok), 18:44, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не нужно. ИК порт надёжнее и тоже беспроводной.
    В кранем случае лазер в вакууме.
     

  • 1.2, Анонимус_б6_выпуск_3 (?), 14:04, 11/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    >Объединение Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, объявило, что проблема затрагивает ограниченное число ранних реализаций WPA3-Personal

    Что ещё они могли сказать?

    >и может быть устранена через обновление прошивки и ПО (в том числе предложены патчи для hostap/wpa_supplicant и обновление пакетов для Ubuntu).

    а роутеры, которые производитель забрасывает сразу, как только продал их?

    >Для усиления защиты Wi-Fi Alliance добавил в программу сертификации беспроводных устройств дополнительные тесты для проверки корректности реализаций, а также связался с производителями устройств для совместной координации устранения выявленных проблем.

    тесты может быть (и то я глубоко сомневаюсь), а насчет производителей и координации - громкий смех в зале =(((

     
     
  • 2.3, iPony (?), 14:05, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а роутеры, которые производитель забрасывает сразу, как только продал их?

    Ну такие производители точно ещё не выпустили роутеры с WPA3

     
     
  • 3.8, Анонимус_б6_выпуск_3 (?), 14:23, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    как раз такие и выпускают в первую очередь на волне рекламы, а как же НОВЫЙ БЕЗОПАСНЫЙ WPA 3!!!11111 адын адын

    и плевать потом на всё

     
     
  • 4.9, iPony (?), 14:24, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Не ври.
     
  • 2.13, Аноним (13), 14:28, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >а роутеры

    https://www.wi-fi.org/product-finder-results?sort_by=default&sort_order=desc&c . Здесь не включены всякие интерпрайзные, которые так или иначе придётся производителю обновить. Из этого если убрать всякие специфичные вещи вроде фортиапов и малоизвестных, то остаётся в сухом остатке два роутера - нетгир (да, этот может забросить своё очень быстро) и синологи. У первого самая свежая фирмварь выпущена 3 апреля (судя по дате Last updated на https://kb.netgear.com/000060819/RAX120-Firmware-Version-1-0-0-84) и "Includes security fixes", однако какие, неизвестно. У второго самое свежее за 21 марта, и про исправление проблем с безопасностью ничего не указано. В общем, проблемы с заброшенными роутерами с WPA3 нет, потому что сами роутеры по себе пока ещё редки.

     
     
  • 3.15, iPony (?), 14:41, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.synology.com/en-us/products/MR2200ac#specs

    WPA3 ✔

    LAN port Gigabit (RJ-45) x 1 😠

    Да надоели же

     
  • 3.35, синаноним (?), 17:55, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    [Security Advisory] Synology-SA-19:16 Moderate: Dragonblood
     
  • 2.14, iPony (?), 14:32, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот у Netgear с поддержкой WPA3 кажись только один AX12 (такая вот бандура с WiFi ax и ценой этак в 25000 рублей).
    А в категории этак мне до 3000 рублей что-то без поддержки - пока не будет WPA3.
     
  • 2.19, Аноним (19), 15:30, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >а роутеры, которые производитель забрасывает сразу, как только продал их?

    А может не стоит покупать такие роутеры у таких производителей?

     
  • 2.23, анон (?), 16:21, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Покупайте ривьеры на открытых платформах без блобов. Лучший пример MTK mt7621 - самая задокументированная и открытая платформа из современных. Лучшая платформа для openwrt на сегодня.
     
     
  • 3.31, AnonPlus (?), 17:19, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Воткни уже реферальную ссылку на покупку Сяоми и успокойся.
     
  • 3.45, OpenEcho (?), 01:36, 14/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Raspberry Pi + hostapd
     

  • 1.4, Аноним (4), 14:15, 11/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что такое P-521?
     
     
  • 2.5, Аноним (5), 14:18, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    NIST recommended 15 elliptic curves. Five prime fields Fp for certain primes p of sizes 192, 224, 256, 384, and 521 bits. For each of the prime fields, one elliptic curve is recommended.
     
  • 2.7, trolleybus (?), 14:19, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Эллиптическая кривая для 521-разрядного простого числа. По ссылке оно есть
     

  • 1.10, Анонимс (?), 14:25, 11/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ещё не успел перейти с WPA2 на WPA3, а уже уязвимости там нашли. Как жить то теперь?
     
  • 1.11, Аноним (11), 14:26, 11/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    WPA3 надёжный, говорили они.
     
  • 1.12, 1281041279998205127859 (?), 14:27, 11/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Модное название придумали, а модного сайта у уязвимости нет? Как так-то?
     
     
  • 2.46, Аноним (46), 15:06, 15/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну как нет? Есть!
    Все утилиты Dragonfly выпущены под BSD лицензией: https://www.dragonflybsd.org/
     

  • 1.16, mumu (ok), 14:54, 11/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ничего серьёзного
    какие-то академические изыскания с кэшами, нереализуемые на практике, ддос через флуд и необходимость запуска приложений на стороне клиента.
     
     
  • 2.25, Аноним (24), 16:55, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Аноним такой аноним..
    Внизу новости ссылки на гитхаб, где все это уже р_е_а_л_и_з_о_в_а_н_о.
     
     
  • 3.26, Crazy Alex (ok), 17:04, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Угу, реализовано. Для идеальных условий, уязвимых реализаций и так далее. Ничего серьёзного, обычные мелкие дырки.
     
  • 3.28, AnonPlus (?), 17:16, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ага, "имея возможность выполнить код в системе пользователя беспроводной сети"

    А имея возможность выполнить код от рута в вашей системе, я могу вообще сохранённый пароль от беспроводной сети вытащить.

     

  • 1.27, Аноним (27), 17:05, 11/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну так себе средненько. Проблема будет если будет возможен откат на wpa2, но если такое запретить на устройстве то все хорошо.
    Вторая проблемы тоже так себе, если будет доступ в систему, если ........
    дофига если короче.

     
     
  • 2.29, AnonPlus (?), 17:18, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Но запретить такое в ближайшие годы большинство пользователей не смогут, потому что устройств, которые не умеют и не будут уметь WPA3, на руках полным полно.
     
     
  • 3.34, iPony (?), 17:36, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В текущих Android и iOS пока нету.
     

  • 1.30, YetAnotherOnanym (ok), 17:18, 11/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Атакующий может заблокировать работу определённых функций точки доступа из-за исчерпания доступных ресуросов через отправку большого числа запросов согласования канала связи

    А ещё он может микроволновку с открытой дверцей включить.
    А вообще - фуфло все эти беспроводные технологии, с самого начала голимое фуфло.

     
  • 1.32, Аноним (32), 17:22, 11/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пока существует включенная брешь в безопасности под названием WPS и пароли вида "12345678", можно хоть до упаду обмазываться криптографией и шифрованными management frames без толку.
     
     
  • 2.33, iPony (?), 17:33, 11/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Пока существует включенная брешь в безопасности под названием WPS

    Это не брешь. В реализации брешь.
    Удачи тебе с современным роутером с WPS...

     

  • 1.36, Аноним (36), 18:13, 11/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Назначте уже этих чуваков главными в коммитет по стандартизации WPA.
     
     
  • 2.43, Аноним (43), 18:15, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Давно же известно, что критик не может быть писателем.
     

  • 1.38, Аноним (38), 23:06, 11/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >оказался подвержен атакам через отслеживание оседания информации в процессорном кэше (cache attack)

    Этому любой софт подвержен.

    >Атака по откату на WPA2 с возможностью проведения словарного подбора.

    Удачи им с подбором пароля вроде ujtr6UqiA2MCFsIYRMLhnCvz8qESUQjBfdDoLdGBGN

     
  • 1.39, Аноним (38), 23:08, 11/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Сегодня в  ubuntu wpa-supplicant обновился. Видимо неспроста.
     
     
  • 2.44, Аноним (43), 18:16, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А если не гадать, а посмотреть ченжлог?
     

  • 1.41, лютый жабист__ (?), 08:37, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Чито им мешало то Mathy Vanhoef позвать на пьянку? Ну там, архитектором WPA3 например. В WPA4 догадаются или нет?
     
     
  • 2.42, mumu (ok), 12:26, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И как бы он решил проблему ддоса от постоянно меняющихся mac-адресов?
    Данная задача в принципе не имеет решения для условия с двумя участниками. Для её решения необходимо дополнительное третье устройство посередине, чтобы ддосилось оно, а не сервер.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру