В предыдущей статье мы рассмотрели основу протокола WPA3 — механизм рукопожатия SAE (Simultaneous Authentication of Equals), также известный как Dragonfly. Этот механизм заменил уязвимую аутентификацию с предварительным общим ключом (PSK) в WPA2 и повысил общую безопасность. Однако в течение года после внедрения специалисты по безопасности выявили целый ряд уязвимостей, известных как «атаки Dragonblood».
В этой статье я представлю основные уязвимости Dragonfly, чтобы обеспечить более четкое понимание новых векторов атак.
[th]Особенность/Уязвимость[/th][th]WPA2[/th][th]WPA3[/th]
[td]Стойкость шифрования[/td][td]AES-CCMP 128 бит, надежный, но устаревший[/td][td]AES-GCMP 128/192-бит, более мощный и модернизированный[/td]
[td]Метод обмена ключами[/td][td]Четырехстороннее рукопожатие с предварительным общим ключом (PSK), уязвимое для атак KRACK и повторного воспроизведения[/td][td]Одновременная аутентификация равных (SAE), устойчивая к KRACK и офлайновым атакам по словарю[/td]
[td]Защита от оффлайн-перебора паролей[/td][td]Слабое; перехваченные рукопожатия позволяют проводить офлайн-атаки по словарю на слабые пароли[/td][td]Сильный; SAE требует взаимодействия при каждой попытке, блокируя атаки в автономном режиме[/td]
[td]Прямая секретность[/td][td]Нет; компрометация текущих ключей раскрывает прошлые сеансы[/td][td]Да; эфемерные ключи защищают прошлые сеансы даже в случае утечки текущих ключей[/td]
[td]Индивидуализированное шифрование данных[/td][td]Нет; общие ключи означают, что одно нарушение подвергает риску весь трафик[/td][td]Да; трафик каждого устройства шифруется отдельно, что предотвращает подслушивание[/td]
[td]Уязвимости к атакам по сторонним каналам[/td][td]Ограниченное исследование; в целом не является объектом внимания[/td][td]Возможно; ошибки сроков и реализации (Dragonblood) могут привести к утечке информации[/td]
[td]Риск атаки понижения рейтинга[/td][td]Высокий; нет защиты от принудительного отката к более слабым протоколам[/td][td]Присутствует; переходный режим позволяет перейти на WPA2, что делает возможными атаки по словарю[/td]
[td]Защита фрейма управления[/td][td]Необязательно; многие устройства не поддерживают PMF, что делает их уязвимыми для атак деаутентификации/разъединения[/td][td]Обязательно; требуется PMF, что повышает стабильность и безопасность сети[/td]
[td]Поддержка устройств Интернета вещей[/td][td]Ограниченный; часто небезопасный из-за слабых паролей и отсутствия индивидуального шифрования[/td][td]Улучшено; улучшенное управление ключами и шифрование, адаптированное для устройств с ограниченными возможностями[/td]
[td]Сложность реализации[/td][td]Проверенный и широко поддерживаемый; более простой, но с известными недостатками[/td][td]Более сложный; новый протокол с некоторыми подводными камнями реализации, приводящими к уязвимостям[/td]
[td]Известные подвиги[/td][td]KRACK, автономный словарь, воспроизведение, атаки со слабым паролем[/td][td]Dragonblood (время, понижение), побочный канал, понижение до WPA2[/td]
Переходный режим WPA3 позволяет точке доступа (ТД) поддерживать как WPA3-SAE, так и WPA2-PSK с одним и тем же паролем. Звучит удобно — старые устройства всё ещё могут подключаться, — но это палка о двух концах. Злоумышленник может настроить мошенническую ТД, которая поддерживает только WPA2, но использует тот же SSID. Ближайшие клиенты с поддержкой WPA3 будут обманным путём подключены через WPA2 вместо WPA3.
Как происходит атака
Dragonfly, рукопожатие, лежащее в основе WPA3-SAE и EAP-pwd, использует функцию хэш-группы или хэш-кривой для сопоставления вашего пароля с криптографической группой. Но вот в чём проблема: время, необходимое для этого, не всегда постоянно — это может привести к утечке информации о самом пароле. Если вы сможете измерить время, необходимое для обработки рукопожатия, вы сможете постепенно сокращать количество возможных паролей.
Давайте разберем это подробнее:
Злоумышленники могут создавать недействительные точки для проверки реализаций, выявляя слабую проверку и позволяя восстановить пароль. Атаки на небольшие подгруппы усугубляют проблему, распределяя операции по более мелким, математически редуцированным группам, где перебор становится возможным.
Процесс «охоты и клевания», при котором протокол итеративно ищет допустимый элемент пароля, особенно ресурсоёмок и, следовательно, является привлекательной целью для подобных DoS-атак. Некоторые реализации усугубляют проблему, накапливая в памяти неполные данные о состоянии аутентификации, что в конечном итоге приводит к истощению ресурсов системы и сбоям или перезагрузкам.
Исследования показали, что даже маломощные устройства злоумышленников могут спровоцировать эти перегрузки, отправляя всего лишь 70 поддельных кадров подтверждения в секунду, что приводит к резкому увеличению загрузки ЦП целевой точки доступа до 100%, при этом занимая лишь малую часть доступного беспроводного эфира. Это делает атаку одновременно эффективной и разрушительной, подчёркивая фундаментальную слабость текущей архитектуры и реализации WPA3.
В этой статье я представлю основные уязвимости Dragonfly, чтобы обеспечить более четкое понимание новых векторов атак.
Уязвимости WPA3 и WPA2
Профили уязвимостей WPA2 и WPA3 представляют собой принципиально разные проблемы безопасности; обзор см. в таблице ниже.Атаки с понижением рейтинга
WPA3 должен был стать следующим крупным шагом в развитии безопасности Wi-Fi — более надёжным, интеллектуальным и безопасным. Но благодаря обратной совместимости с WPA2 он открывает опасные возможности для злоумышленников.Переходный режим WPA3 позволяет точке доступа (ТД) поддерживать как WPA3-SAE, так и WPA2-PSK с одним и тем же паролем. Звучит удобно — старые устройства всё ещё могут подключаться, — но это палка о двух концах. Злоумышленник может настроить мошенническую ТД, которая поддерживает только WPA2, но использует тот же SSID. Ближайшие клиенты с поддержкой WPA3 будут обманным путём подключены через WPA2 вместо WPA3.
Как происходит атака
- Злоумышленник транслирует поддельную сеть WPA2 с SSID жертвы.
- Клиент подключается с использованием WPA2.
- Злоумышленник подделывает первое сообщение рукопожатия (которое не аутентифицировано).
- Клиент отвечает вторым сообщением о рукопожатии (аутентифицированным), которое раскрывает достаточно информации для атаки по словарю.
Разделение паролей на основе времени (CVE-2019-9494)
Давайте разберем это подробнее:
- Переменные итерации: при использовании некоторых групп MODP (например, групп 22, 23 и 24 из RFC 5114) алгоритму иногда требуется выполнять несколько циклов в зависимости от выходных данных функции выведения ключа (KDF). Количество циклов зависит от пароля и параметров группы. Например, для группы 24 существует колоссальная вероятность в 47%, что KDF выдаст значение, требующее ещё одной итерации. Это означает, что время, необходимое для завершения рукопожатия, напрямую зависит от пароля.
- Подмена MAC-адреса: поскольку MAC-адреса (идентификаторы) являются частью входных данных KDF, злоумышленник может подделывать разные MAC-адреса, измерять время отклика для каждого из них и строить профиль количества итераций, необходимых для каждого адреса. При достаточном количестве измерений можно статистически отсортировать, какие адреса (и, следовательно, какие кандидаты на пароли) требуют больше времени для перебора.
- Недостатки кривой Brainpool: Даже с кривыми Brainpool, которые, по идее, безопаснее, метод хеширования по кривой всё равно допускает утечку информации о времени. Количество реальных итераций и разброс времени выполнения могут дать идентификационный отпечаток пароля, хотя для получения этой информации требуется больше измерений.
Недействительные атаки по точкам кривой
Обещание WPA3 обеспечить надежную защиту с помощью эллиптической криптографии сталкивается с серьезной проблемой, когда реализации не могут должным образом проверить точки эллиптической кривой. Протокол SAE (одновременная аутентификация равных) предполагает обмен этими точками между сторонами, но пропуск или ненадлежащее выполнение проверки позволяет злоумышленникам добавлять вредоносные «поворотные» точки — точки, лежащие не на предполагаемой кривой, а на ее математическом «повороте». Когда устройства работают с этими недействительными точками без проверки, тонкие паттерны ошибок и различия во времени приводят к утечке критически важной информации о секретном элементе пароля.
Истощение ресурсов и отказ в обслуживании
Синхронизация SAE (Simultaneous Authentication of Equals) в WPA3 в значительной степени основана на криптографических операциях на основе эллиптических кривых, которые требуют больших вычислительных затрат. Злоумышленники используют это, перегружая точки доступа потоком запросов на аутентификацию, каждый из которых вынуждает точку доступа выполнять эти ресурсоёмкие вычисления на основе эллиптических кривых. Эта безжалостная атака может быстро перегрузить процессор, что приведёт к серьёзному снижению производительности или полному отказу в обслуживании, лишая законных пользователей возможности подключения.Процесс «охоты и клевания», при котором протокол итеративно ищет допустимый элемент пароля, особенно ресурсоёмок и, следовательно, является привлекательной целью для подобных DoS-атак. Некоторые реализации усугубляют проблему, накапливая в памяти неполные данные о состоянии аутентификации, что в конечном итоге приводит к истощению ресурсов системы и сбоям или перезагрузкам.
Исследования показали, что даже маломощные устройства злоумышленников могут спровоцировать эти перегрузки, отправляя всего лишь 70 поддельных кадров подтверждения в секунду, что приводит к резкому увеличению загрузки ЦП целевой точки доступа до 100%, при этом занимая лишь малую часть доступного беспроводного эфира. Это делает атаку одновременно эффективной и разрушительной, подчёркивая фундаментальную слабость текущей архитектуры и реализации WPA3.
