A pesar de que el nuevo estándar WPA3 aún no se ha puesto en funcionamiento, las fallas de seguridad en este protocolo permiten a los atacantes descifrar una contraseña de Wi-Fi.
El protocolo Wi-Fi Protected Access III (WPA3) se lanzó en un intento de eliminar las fallas técnicas del protocolo WPA2, que durante mucho tiempo se consideró inseguro y vulnerable a un ataque KRACK (ataque de reinstalación de claves). Aunque WPA3 se basa en un apretón de manos más seguro conocido como Dragonfly, que tiene como objetivo proteger las redes Wi-Fi de ataques de diccionario fuera de línea (busting fuera de línea), los investigadores de seguridad Mathy Vanhoef y Eyal Ronen han encontrado debilidades en la implementación inicial de WPA3-Personal que puede permitir que un atacante recupere las contraseñas de Wi-Fi al abusar de los tiempos o una memoria caché lateral.
“Los atacantes pueden leer información que se suponía que WPA3 debía cifrar de forma segura. Esto se puede usar para robar información confidencial, como números de tarjetas de crédito, contraseñas, mensajes de chat, correos electrónicos, etc. "
En un
trabajo de investigación publicado hoy llamado DragonBlood, los investigadores analizaron dos tipos de fallas de diseño en WPA3 en detalle: el primero conduce a ataques de degradación y el segundo conduce a fugas de caché laterales.
Ataque de caché lateral basado en caché
El algoritmo de cifrado de contraseña de Dragonfly, también conocido como algoritmo de caza y picoteo, contiene ramas condicionales. Si un atacante puede determinar qué rama de la rama if-then-else fue tomada, puede averiguar si se encontró un elemento de contraseña en una iteración particular de este algoritmo. En la práctica, se ha descubierto que si un atacante puede ejecutar código no privilegiado en una computadora víctima, es posible usar ataques basados en caché para determinar qué rama se tomó en la primera iteración del algoritmo de generación de contraseña. Esta información se puede utilizar para llevar a cabo un ataque dividido por contraseña (esto es similar a un ataque de diccionario independiente).
Esta vulnerabilidad se rastrea utilizando el identificador CVE-2019-9494.
La protección consiste en reemplazar ramas condicionales, que dependen de valores secretos, con utilidades de selección con tiempo constante. Las implementaciones también deben usar el cálculo de
símbolos Legendre en tiempo constante.
Ataque de canal lateral basado en sincronización
Cuando un apretón de manos de Dragonfly usa grupos multiplicativos específicos, el algoritmo de cifrado de contraseña usa un número variable de iteraciones para codificar la contraseña. El número exacto de iteraciones depende de la contraseña utilizada y la dirección MAC del punto de acceso y el cliente. Un atacante puede realizar un ataque temporal remoto en el algoritmo de cifrado de contraseña para determinar cuántas iteraciones fueron necesarias para codificar la contraseña. La información recuperada se puede utilizar para realizar un ataque de contraseña, que es similar a un ataque de diccionario independiente.
Para evitar ataques basados en sincronización, las implementaciones deben deshabilitar los grupos multiplicativos vulnerables. Desde un punto de vista técnico, los grupos MODP 22, 23 y 24 deberían estar deshabilitados. También se recomienda deshabilitar los grupos MODP 1, 2 y 5.
Esta vulnerabilidad también se controla mediante el identificador CVE-2019-9494 debido a la similitud de la implementación del ataque.
WPA3 downgrade
Como el protocolo WPA2 de 15 años ha sido ampliamente utilizado por miles de millones de dispositivos, WPA3 no se distribuirá ampliamente durante la noche. Para admitir dispositivos más antiguos, los dispositivos con certificación WPA3 ofrecen un "modo de operación de transición" que se puede configurar para aceptar conexiones utilizando WPA3-SAE y WPA2.
Los investigadores creen que el modo de transición es vulnerable a los ataques de degradación que los atacantes pueden usar para crear un punto de acceso fraudulento que solo sea compatible con WPA2, lo que obliga a los dispositivos habilitados para WPA3 a conectarse mediante el inseguro apretón de manos de cuatro vías de WPA2.
"También encontramos un ataque de degradación contra el apretón de manos SAE (Autenticación de pares simultánea, comúnmente conocida como Dragonfly), donde podemos obligar al dispositivo a usar una curva elíptica más débil de lo habitual", dicen los investigadores.
Además, la posición de "hombre en el medio" no es necesaria para realizar un ataque con una degradación. En cambio, los atacantes solo necesitan conocer el SSID de la red WPA3-SAE.
Los investigadores informaron sobre los resultados de la Wi-Fi Alliance, una organización sin fines de lucro que certifica el cumplimiento de los estándares WiFi y los productos Wi-Fi, que han reconocido problemas y están trabajando con los proveedores para reparar los dispositivos con certificación WPA3 existentes.
PoC
Para confirmar el concepto, los investigadores pronto lanzarán las siguientes cuatro herramientas separadas (en los repositorios de GitHub con un hipervínculo a continuación) que pueden usarse para verificar vulnerabilidades.
Dragondrain es una herramienta que puede verificar en qué medida el punto de acceso es vulnerable a los ataques de apretón de manos WPA3 Dragonfly Dos.
Dragontime es una herramienta experimental para realizar ataques temporales contra el apretón de manos Dragonfly.
Dragonforce es una herramienta experimental que recibe información para la recuperación de ataques temporales y realiza un ataque de contraseña.
Dragonslayer es una herramienta que ataca EAP-pwd.
Dragonblood: un análisis de seguridad del apretón de manos SAE de WPA3Sitio del proyecto -
wpa3.mathyvanhoef.com