Мэти Ванхофом (Mathy Vanhoef) и Эяль Ронен (Eyal Ronen (https://eyalro.net/)) выявили (https://wpa3.mathyvanhoef.com/#new) новый метод атаки (CVE-2019-13377) на беспроводные сети, использующие технологию защиты WPA3, позволяющий получить сведения о характеристиках пароля, которые можно использовать для проведения его подбора в offline-режиме. Проблема проявляется в актуальной версии Hostapd (https://w1.fi/security/).Напомним, что в апреле теми же авторами были выявлены (https://www.opennet.ru/opennews/art.shtml?num=50493) шесть уязвимостей в WPA3, для противодействия которым объединение Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, внесло изменения в рекомендации по обеспечению безопасных реализаций WPA3, в которых было предписано использовать защищённые эллиптические кривые Brainpool (http://bada55.cr.yp.to/brainpool.html), вместо ранее допустимых эллиптических кривых P-521 и P-256.
Тем не менее, анализ показал, что использование Brainpool приводит к возникновению нового класса утечек по сторонним каналам в применяемом в WPA3 алгоритме согласования соединений Dragonfly (https://sarwiki.informatik.hu-berlin.de/WPA3_Dragonfly_Hands... предоставляющем (https://www.opennet.ru/opennews/art.shtml?num=48854) защиту от подбора паролей в offline-режиме. Выявленная проблема демонстрирует, что создание реализаций Dragonfly и WPA3, избавленных от утечек данных по сторонним каналам, является чрезвычайно сложной задачей, а также показывает несостоятельность модели развития стандартов за закрытыми дверями без проведения общедоступного обсуждения предлагаемых методов и аудита сообществом.
При использовании эллиптической кривой Brainpool при кодировании пароля алгоритмом Dragonfly выполняется несколько предварительных итераций с паролем, связанных с быстрым вычислением короткого хэша до начала применения эллиптической кривой. До нахождения короткого хэша выполняемые операции напрямую зависят от пароля и MAC-адреса клиента. Время выполнения (коррелирует с числом итераций) и задержки между операциями в ходе выполнения предварительных итераций могут быть измерены и использованы для определения характеристик пароля, которые можно использовать в offline для уточнения правильности выбора частей пароля в процессе его подбора. Для проведения атаки необходимо наличие доступа к системе пользователя, подключающегося к беспроводной сети.
Дополнительно, исследователями выявлена вторая уязвимость (CVE-2019-13456), связанная с утечкой информации в реализации протокола EAP-pwd (https://en.wikipedia.org/wiki/Extensible_Authentication_Prot... использующего алгоритм Dragonfly. Проблема специфична для RADIUS-сервера FreeRADIUS и на основании утечки сведений по сторонним каналам также как и первая уязвимость позволяет существенно упростить подбор пароля.
В сочетании с улучшенным методом отсеивания шумов в процессе измерения задержек для определения числа итераций достаточно провести 75 измерений для одного MAC-адреса. При использовании GPU затраты на ресурсы для подбора одного словарного пароля оцениваются в $1. Методы по повышению безопасности протоколов, позволяющие блокировать выявленные проблемы, уже внесены в черновые варианты будущих стандартов Wi-Fi (WPA 3.1 (https://mentor.ieee.org/802.11/dcn/19/11-19-1173-08-000m-pwe... и EAP-pwd (https://tools.ietf.org/html/draft-harkins-eap-pwd-prime-00). К сожалению, без нарушения обратной совместимости в текущих версиях протоколов устранить утечки по сторонним каналам не получится.
URL: https://twitter.com/vanhoefm/status/1157315169263005696
Новость: https://www.opennet.ru/opennews/art.shtml?num=51216
