Dragonblood漏洞影响WPA3 Wi-Fi标准

作者:???深圳市网安计算机安全检测技术有限公司 2019/04/12 09:44:33 436次阅读 国际
文章来源:http://www.mottoin.com/detail/3866.html
Xs46YE38pEWAegr9yrWkJzVk2cYEtkOrmIqwVcBC.png

? ? ? ?纽约大学安全研究人员Mathy Vanhoef和特拉维夫大学Eyal Ronen在WPA3-Personal协议中发现了“旁路泄漏”和“降级攻击”两种类型的漏洞,漏洞可让攻击者破解Wi-Fi网络的密码、访问互联设备的加密网络流量。受这些漏洞影响的设备可让攻击者运行其软件收集设备上的旁路信息,加密操作实现错误或加密元素不恰当。

? ? ? ?WPA是一种旨在使用高级加密标准(AES)协议对无线设备进行身份验证、防止黑客窃听无线数据的标准。WPA2是基于WPA的一种新的加密方式,其技术缺陷长期以来一直被认为不安全,且容易受到密钥重新安装攻击。

? ? ? ?WPA3推出了近一年,是WPA2的后续版本,其在广泛采用的Wi-Fi WPA2的基础上,增加了新功能,以简化Wi-Fi安全保障方法,其在向网络注册新设备时,WPA3使用的是Wi-Fi设备配置协议(DPP)代替了共享密码,可让用户扫描QR码或NFC标签,将设备记录到无线网络。与WPA2不同的是,所有网络流量在连接到使用WPA3 WiFi安全的网络后都会被加密。而WPA3-Personal协议取代了WPA2-Personal中的预共享密钥(PSK)和对等实体同时验证(SAE)为的是提供更强劲的基于密码的身份认证。WPA3最大的优点是,其“Dragonfly handshake”让破解网络密码几乎不可能。

? ? ? ?然而,新协议的对等实体同时验证(也称为Dragonfly)的设计缺陷会让很多用户受到密码分区攻击。其在研究论文中表示:“对于密码分区攻击,我们需要记录几次不同MAC地址的Handshake,通过定位同一网络中的多个客户端来获得不同MAC地址的handshake(如说服多个用户下载相同的恶意应用程序)。如果只攻击一个客户端,则可设置具有相同SSID但是欺骗性MAC地址的恶意AP”。

? ? ? ?降级攻击不需要中间人的位置,攻击者只需要知道WPA3-SAE网络的SSID;而旁路攻击是基于缓存(CVE-2019-9494)和基于时序(CVE-2019-9494)的攻击——针对Dragonfly的密码编码方法:其可能被滥用来窃取敏感的传输信息,如:信用卡号、密码、聊天消息、电子邮件等等,攻击效率高、成本低。该方法可能允许攻击者执行密码分区攻击,类似于离线词典攻击,获取Wi-Fi密码。

lpH7UQWlHu0ZzE2kOoX02D5yMCqqqnkyjQ5R0jBZ.png

DRAGONBLOOD漏洞详情

? ? ? ?此次总共有五个漏洞,都是Dragonblood集合的一部分——拒绝服务攻击、两次降级攻击和两次侧通道信息泄露。

? ? ? ?拒绝服务攻击只会导致WPA3兼容的访问点崩溃,其他四个可用于恢复用户密码。

? ? ? ?两个降级攻击和两个旁路泄漏都利用了WPA3标准的Dragonfly密钥交换中的设计缺陷-客户端在WPA3路由器或接入点上进行身份验证的机制。

  • 降级攻击中可使用较旧且更不安全的密码交换系统强制使用支持WiFi WPA3的网络,可允许攻击者使用较旧的缺陷来检索网络密码。
  • 侧信道信息泄露攻击支持WiFi WPA3的网络可以欺骗设备使用较弱的算法,泄漏有关网络密码的小量信息。通过反复攻击,最终可以恢复完整密码。
  • 降级到字典攻击:适用于通过WPA3的“过渡模式”同时支持WPA3和WPA2的网络。这次袭击已在最近发布的三星Galaxy S10设备上得到确认。解释如下:如果客户端和AP都支持WPA2和WPA3,则攻击者可以设置仅支持WPA2的欺诈AP。这会导致客户端(即受害者)使用WPA2的4次握手进行连接。虽然客户端在4次握手期间检测到降级到WPA2,但为时已晚。检测到降级之前交换的4次握手消息,提供足够的信息来启动离线字典攻击。
  • 集团降级攻击:当WPA3配置为使用多组加密算法时,而不是仅用一组加密算法的基本降级攻击。例如,假设客户端支持椭圆曲线P-521和P-256,并且更喜欢按顺序使用它们。在这种情况下,即使AP也支持P-521曲线,对手也可以强制客户端和AP使用较弱的P-256曲线。这可以通过干扰Dragonfly握手的消息并伪造指示不支持某些曲线的消息来实现。
  • 基于缓存的侧通道攻击(CVE-2019-9494) - 利用Dragonfly协议的“狩猎和啄食”算法。如果攻击者可以确定if-then-else分支的哪个分支,他们可以了解密码元素是否在此算法的特定迭代中找到。在实践中,如果攻击者可以在受害者计算机上运行非特权代码,可以使用基于缓存的攻击来确定在密码生成算法的第一次迭代中采用了哪个分支,可以滥用此信息、执行密码分区攻击(类似于离线字典攻击)。
  • 基于定时的侧通道攻击(CVE-2019-9494) - 利用WPA3的“乘法组”功能。当Dragonfly握手使用某些乘法组时,密码编码算法使用可变数量的iteratins来编码密码。精确的迭代次数取决于所使用的密码以及AP和客户端的MAC地址。攻击者可以对密码编码算法执行远程计时攻击,以确定编码密码需要多少次迭代。可以滥用恢复的信息来执行密码分区攻击,类似于离线字典攻击。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室