尽管新的WPA3标准尚未真正投入使用,但该协议中的安全漏洞使攻击者能够破解Wi-Fi密码。
推出Wi-Fi保护访问III(WPA3)协议是为了消除WPA2协议的技术缺陷,长期以来人们一直认为WPA2协议不安全并且容易受到KRACK攻击(密钥重新安装攻击)。 尽管WPA3依赖于称为Dragonfly的安全握手,其目的是保护Wi-Fi网络免受离线字典攻击(脱机破坏),但安全研究人员Mathy Vanhoef和Eyal Ronen发现早期WPA3-Personal实施中的弱点可能允许攻击者通过滥用计时或侧面缓存来恢复Wi-Fi密码。
攻击者可以读取WPA3应该安全加密的信息。 这可以用来窃取机密信息,例如信用卡号,密码,聊天消息,电子邮件等。”
在今天发表的名为DragonBlood的
研究论文中 ,研究人员详细研究了WPA3中的两种类型的设计缺陷:第一种导致降级攻击,第二种导致侧缓存泄漏。
基于缓存的侧缓存攻击
蜻蜓的密码加密算法(也称为狩猎和啄算法)包含条件分支。 如果攻击者可以确定采用了if-then-else分支的哪个分支,则他可以找出在此算法的特定迭代中是否找到了密码元素。 在实践中,已经发现,如果攻击者可以在受害者计算机上运行未特权的代码,则可以使用基于缓存的攻击来确定在密码生成算法的第一次迭代中采用了哪个分支。 此信息可用于执行密码分割攻击(这类似于独立的字典攻击)。
使用标识符CVE-2019-9494跟踪此漏洞。
保护在于用具有恒定时间的选择实用程序替换依赖于秘密值的条件分支。 实现也应使用恒定时间的
Legendre符号计算。
基于同步的边路攻击
当蜻蜓握手使用特定的乘法组时,密码加密算法使用可变次数的迭代来对密码进行编码。 确切的迭代次数取决于所使用的密码以及接入点和客户端的MAC地址。 攻击者可以对密码加密算法执行远程临时攻击,以确定编码密码所需的迭代次数。 恢复的信息可用于执行密码攻击,类似于独立的字典攻击。
为了防止基于同步的攻击,实现必须禁用易受攻击的乘法组。 从技术角度来看,应该禁用MODP组22、23和24。 还建议禁用MODP组1、2和5。
由于攻击实现的相似性,还使用标识符CVE-2019-9494监视此漏洞。
WPA3降级
由于已有15年历史的WPA2协议已被数十亿个设备广泛使用,因此WPA3不会在一夜之间广泛分发。 为了支持较旧的设备,经过WPA3认证的设备提供了“过渡操作模式”,可以将其配置为使用WPA3-SAE和WPA2接受连接。
研究人员认为,这种转换模式容易受到降级攻击的攻击,攻击者可以使用降级攻击来创建仅支持WPA2的欺诈性接入点,从而迫使启用WPA3的设备使用WPA2的不安全四向握手进行连接。
研究人员说:“我们还发现了针对SAE握手本身的降级攻击(同时对等身份验证,通常称为蜻蜓),我们可以在其中迫使设备使用比平时更弱的椭圆曲线。”
而且,不需要“中间人”位置进行降级攻击。 相反,攻击者只需要知道WPA3-SAE网络的SSID。
研究人员报告了Wi-Fi联盟的结果,该组织是对WiFi标准和Wi-Fi产品进行合规性认证的非营利组织,已经发现了问题,并正在与供应商合作修复现有的WPA3认证设备。
PoC
为了确认这个概念,研究人员将很快发布以下四个单独的工具(在GitHub存储库中,带有超链接),可用于检查漏洞。
Dragondrain是一种工具,可以检查访问点在多大程度上容易受到WPA3 Dragonfly Dos握手攻击的影响。
Dragontime是一种针对蜻蜓握手进行临时攻击的实验工具。
Dragonforce是一种实验性工具,可接收信息以从临时攻击中恢复并执行密码攻击。
Dragonslayer是一种攻击EAP-pwd的工具。
龙血:WPA3的SAE握手的安全性分析项目站点
-wpa3.mathyvanhoef.com