总共有五个漏洞是Dragonblood集合的一部分 - 拒绝服务攻击,两次降级攻击和两次侧通道信息泄露。虽然拒绝服务攻击有点不重要,因为它只会导致WPA3兼容的访问点崩溃,其他四个可用于恢复用户密码。两个降级攻击和两个旁路泄漏都利用了WPA3标准的Dragonfly密钥交换中的设计缺陷- 客户端在WPA3路由器或接入点上进行身份验证的机制。
在降级攻击中,可以使用较旧且更不安全的密码交换系统强制使用支持WiFi WPA3的网络,这可以允许攻击者使用较旧的缺陷来检索网络密码。
在侧信道信息泄露攻击中,支持WiFi WPA3的网络可以欺骗设备使用较弱的算法,泄漏有关网络密码的小量信息。通过反复攻击,最终可以恢复完整密码。
降级到字典攻击 - 适用于通过WPA3的“过渡模式”同时支持WPA3和WPA2的网络。这次袭击已在最近发布的三星Galaxy S10设备上得到确认。解释器如下:
如果客户端和AP都支持WPA2和WPA3,则攻击者可以设置仅支持WPA2的欺诈AP。这会导致客户端(即受害者)使用WPA2的4次握手进行连接。虽然客户端在4次握手期间检测到降级到WPA2,但为时已晚。检测到降级之前交换的4次握手消息,提供足够的信息来启动离线字典攻击。
Group Downgrade Attack - 当WPA3配置为使用多组加密算法时,而不是仅使用一组加密算法。基本的降级攻击。解释器如下:
例如,假设客户端支持椭圆曲线P-521和P-256,并且更喜欢按顺序使用它们。在这种情况下,即使AP也支持P-521曲线,对手也可以强制客户端和AP使用较弱的P-256曲线。这可以通过干扰Dragonfly握手的消息并伪造指示不支持某些曲线的消息来实现。
基于缓存的侧通道攻击(CVE-2019-9494) - 利用Dragonfly协议的“狩猎和啄食”算法。下面的高级解释器。
如果攻击者可以确定if-then-else分支的哪个分支,他们可以了解密码元素是否在此算法的特定迭代中找到。在实践中,我们发现,如果攻击者可以在受害者计算机上运行非特权代码,我们就可以使用基于缓存的攻击来确定在密码生成算法的第一次迭代中采用了哪个分支。可以滥用此信息来执行密码分区攻击(这类似于离线字典攻击)。
基于定时的侧通道攻击(CVE-2019-9494) - 利用WPA3的“乘法组”功能。解释器如下:
当Dragonfly握手使用某些乘法组时,密码编码算法使用可变数量的iteratins来编码密码。精确的迭代次数取决于所使用的密码以及AP和客户端的MAC地址。攻击者可以对密码编码算法执行远程计时攻击,以确定编码密码需要多少次迭代。可以滥用恢复的信息来执行密码分区攻击,这类似于离线字典攻击。
Mathy Vanhoef和Eyal Ronen撰写的题为“Dragonblood:WPA3 SAE握手的安全性分析”的学术论文中提供了对这些漏洞的更详细解释 -或者这个网站致力于龙血虫的漏洞。
DARGONBLOOD也影响EAP-PWD
除WPA3外,研究人员还表示,Dragonblood漏洞也会影响之前WPA和WPA2 WiFi身份验证标准所支持的EAP-pwd(可扩展身份验证协议)。
“我们发现大多数实施EAP-pwd的产品存在严重缺陷,”研究人员说。“这些允许对手冒充任何用户,从而在不知道用户密码的情况下访问Wi-Fi网络。”
两位研究人员没有详细说明Dragonblood漏洞如何影响EAP-pwd,因为补丁过程仍在进行中。然而,他们确实发布了一些工具,可用于发现支持WPA3的设备是否对任何主要的龙血腥漏洞都不敏感。
另一方面,WiFi联盟今天宣布了Vanhoef和Ronen公开披露龙血库漏洞后WPA3标准的安全更新。
“这些问题都可以通过软件更新得到缓解,而不会影响设备一起工作的能力,”WiFi联盟今天在一份新闻稿中表示。WiFi产品的供应商现在必须通过固件更新将这些更改集成到他们的产品中。
Vanhoef是同一位安全研究人员,他在2017年秋季披露了对WiFi WPA2标准的KRACK攻击,这是WiFi联盟首先开发WPA3的主要原因。