Критическая уязвимость в WPA2 — Key Reinstallation Attack

Критическая уязвимость во ВСЕХ КОРРЕКТНЫХ РЕАЛИЗАЦИЯХ WPA2



Аааа!!! Все пропало!!! Что делать???



Краткое описание сути атаки


Все защищенные WiFi сети используют 4-ходовый алгоритм «рукопожаний» для генерации нового ключа. До сегоднешнего дня этот алгоритм считался безопасным. Но мы выяснили что он подвержен атаке с переопределением ключа. Это естественно достигается манипуляций данными при обмене рукопожатиями… (дальше строго-технические данные которые нет смылса переводить)

Но pewpew захотел перевести :)
Во время переопределения ключа, соответствующие параметры, такие как накопительное количество переданных пакетов (nonce) и количество переданных пакетов (replay counter) сбрасываются на начальные значения. Наша атака переопределения ключа также ломает PeerKey, групповой ключ, и рукопожатие Fast BSS Transition (FT). Воздействие зависит от атакованного рукопожатия, а также от используемого протокола конфиденциальности данных. Проще говоря, злоумышленник может воспроизводить и расшифровывать (но не подделывать) пакеты против AES-CCMP. Это позволяет захватывать и вводить вредоносные данные в потоки TCP. Против WPATKIP и GCMP воздействие катастрофично: пакеты могут быть воспроизведены, дешифрованы и подделаны. Поскольку GCMP использует тот же ключ аутентификации в обоих направлениях связи, это особенно заметно.


All protected Wi-Fi networks use the 4-way handshake to generate a fresh session key. So far, this 14-year-old handshake has remained free from attacks, and is even proven secure. However, we show that the 4-way handshake is vulnerable to a key reinstallation attack. Here, the adversary tricks a victim into reinstalling an already-in-use key. This is achieved by manipulating and replaying handshake messages. When reinstalling the key, associated parameters such as the incremental transmit packet number (nonce) and receive packet number (replay counter) are reset to their initial value. Our key reinstallation attack also breaks the PeerKey, group key, and Fast BSS Transition (FT) handshake. The impact depends on the handshake being attacked, and the data-confidentiality protocol in use. Simplified, against AES-CCMP an adversary can replay and decrypt (but not forge) packets. This makes it possible to hijack TCP streams and inject malicious data into them. Against WPATKIP and GCMP the impact is catastrophic: packets can be replayed, decrypted, and forged. Because GCMP uses the same authentication key in both communication directions, it is especially affected.


Комментарии автора


Описанная уязвимость кроется в самом WiFi стандарте на уровне протокола, а не в каких-то конкретных устройствах с поддержой WiFi, поэтому атаке поддается практически любой продукт с корректной реализацией WPA2 шифрования. Чтобы защитится от атак всем нужно как можно скорее обновить прошивки устройств.

На вашем устройстве есть WiFi? Скорее всего вы подвержены атаке. В процессе исследования проблемы мы выяснили, что можно успешно атаковать устройства Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys и подобные.

Особенно «больно» можно атаковать владельцев устройств с Android 6.0. Атака на них позволяет перехватывать и подменять передаваеммые по WiFi данные. 41% андроид устройств подвержены «особенно разрушительной» версии атаки. (спасибо wpa_supplicant)

“The weaknesses are in the Wi-Fi standard itself, and not in individual products or implementations. Therefore, any correct implementation of WPA2 is likely affected,” he further writes. “To prevent the attack, users must update affected products as soon as security updates become available.

“Note that if your device supports Wi-Fi, it is most likely affected. During our initial research, we discovered ourselves that Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys, and others, are all affected by some variant of the attacks. For more information about specific products, consult the database of CERT/CC, or contact your vendor.”

“Because Android uses wpa_supplicant, Android 6.0 and above also contains this vulnerability. This makes it trivial to intercept and manipulate traffic sent by these Linux and Android devices,” he writes on the Krackattacks site explaining the flaw. “Note that currently 41% of Android devices are vulnerable to this exceptionally devastating variant of our attack.”


Ответ от WiFi Alliance


Опубликованное исследование показало, что некоторые устройства в некоторых обстоятельствах могут значительно ослабнуть в плане безопасности.… бла бла бла… Всем нужно ждать новых прошивок и срочно обновляться.

Recently published research identified vulnerabilities in some Wi-Fi devices where those devices reinstall network encryption keys under certain conditions, disabling replay protection and significantly reducing the security of encryption. This issue can be resolved through straightforward software updates, and the Wi-Fi industry, including major platform providers, has already started deploying patches to Wi-Fi users. Users can expect all their Wi-Fi devices, whether patched or unpatched, to continue working well together.

There is no evidence that the vulnerability has been exploited maliciously, and Wi-Fi Alliance has taken immediate steps to ensure users can continue to count on Wi-Fi to deliver strong security protections. Wi-Fi Alliance now requires testing for this vulnerability within our global certification lab network and has provided a vulnerability detection tool for use by any Wi-Fi Alliance member. Wi-Fi Alliance is also broadly communicating details on this vulnerability and remedies to device vendors and encouraging them to work with their solution providers to rapidly integrate any necessary patches. As always, Wi-Fi users should ensure they have installed the latest recommended updates from device manufacturers.

As with any technology, robust security research that pre-emptively identifies potential vulnerabilities is critical to maintaining strong protections. Wi-Fi Alliance thanks Mathy Vanhoefand Frank Piessens of the imec-DistriNet research group of KU Leuven for discovering and responsibly reporting this issue, allowing industry to proactively prepare updates. Wi-Fi Alliance also thanks Mathy Vanhoef for his support during the coordinated response, especially his contributions to the vulnerability detection tool.

For more information, please refer to statements from ICASI and CERT.


twitter.com/vanhoefm/status/919852548516909056
papers.mathyvanhoef.com/ccs2017.pdf
www.krackattacks.com

Q&A


Нужен ли теперь WPA3?
Нет не нужен. Пропатченые устройства будут работать используя точно тот же протокол, просто будут блокировать атаку с переопределением ключа.

Нужно ли менять мой пароль от WiFi?
Нет, не нужно. Атака ничего не знает про используемый пароль и никак не эксплуатирует его.

Что делать если на мой роутер не выходит апдейт прошивки?
Достаточто обновить клиентские устройства, чтобы злоумышленник не мог подменить реальную точку доступа фальшивой.

Как была обнаружена уязвимость?
Случайно.

Но ведь 4х-шаговое рукопожатие математически невзламываемое???
Так атака и не крадет ключи, а подменяет :)

Я пользуюсь WPA2 только с AES
Атаке подвержены любые протоколы шифрования (WPA-TKIP, AES-CCMP, GCMP)

Может вернуться на WEP шифрование?
НЕТ! Это еще хуже.

Защищены ли сайты с https?
Да, но человека можно перенаправить на версию сайта без https.

И что теперь менять WiFi стандарт?
Да.

Денег за репорт критической баги дали?
Нет.

Когда были оповещены производители железа?
28 августа 2017.

Почему OpenBSD зарелизила патч раньше чем можно было всем (одновременно) обьявить о баге?
Негодяи. Теперь они будут получать информацию об уязвимостях последними.

Update 1:


Aruba и Ubiquiti, продающие точки доступа крупным корпорациям и правительственным организациям, уже выпустили обновление для снятия уязвимостей, проходящих под кодовыми именами: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

Update 2:


Патчи для wpa_supplicant уже есть.
w1.fi/security/2017-1
w1.fi/security/2017-1/wpa-packet-number-reuse-with-replayed-messages.txt

Update 3:


Роутеры Mikrotik на актуальных версиях прошивки (RouterOS v6.39.3, v6.40.4, v6.41rc) уже пропатчены. Счастливым обладателям можно спать спокойно.
Поделиться публикацией
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама
Комментарии 44
  • +5
    Осталось дождаться обновления Kali дистрибутива =)
    • +1
      Патчи от данной уязвимости в wpa_supplicant: w1.fi/security/2017-1
      • +3
        Копипаста даже без перевода, с мотивацией «нет смысла переводить» — это что-то новое.
        • –1
          Серьезно хотите перевести?
          When reinstalling the key, associated parameters such as the incremental transmit packet number (nonce) and receive packet number (replay counter) are reset to their initial value. Our key reinstallation attack also breaks the PeerKey, group key, and Fast BSS Transition (FT) handshake. The impact depends on the handshake being attacked, and the data-confidentiality protocol in use. Simplified, against AES-CCMP an adversary can replay and decrypt (but not forge) packets. This makes it possible to hijack TCP streams and inject malicious data into them. Against WPATKIP and GCMP the impact is catastrophic: packets can be replayed, decrypted, and forged. Because GCMP uses the same authentication key in both communication directions, it is especially affected.
          • +5
            Во время переопределения ключа, соответствующие параметры, такие как накопительное количество переданных пакетов (nonce) и количество переданных пакетов (replay counter) сбрасываются на начальные значения. Наша атака переопределения ключа также ломает PeerKey, групповой ключ, и рукопожатие Fast BSS Transition (FT). Воздействие зависит от атакованного рукопожатия, а также от используемого протокола конфиденциальности данных. Проще говоря, злоумышленник может воспроизводить и расшифровывать (но не подделывать) пакеты против AES-CCMP. Это позволяет захватывать и вводить вредоносные данные в потоки TCP. Против WPATKIP и GCMP воздействие катастрофично: пакеты могут быть воспроизведены, дешифрованы и подделаны. Поскольку GCMP использует тот же ключ аутентификации в обоих направлениях связи, это особенно заметно.
            • +3
              transmit packet number
              -> не «количество переданных пакетов», а номер переданного пакета
              receive packet number
              -> не «количество переданных пакетов», а номер принятого пакета
              it is especially affected.
              -> не «это особенно заметно», а «он наиболее подвержен» (уязвим)
              • +1
                Смысл комментария я думаю в том, что там очень глубокий технических язык. Кто разбирается и так прочтет, без перевода. Кто нет — тому и перевод в принципе не требуется, достаточно общей информации.
            • 0
              К тому же это — третья статья на данную тему, ничем принципиально не отличающаяся от первых двух.
              • 0
                Я пользовался поиском и не нашел статьи с WPA2. Можно ссылки на «первые две» статьи?
                  • +1
                    спасибо, странный поиск… хотя наверное изза доменов разных.

                    в общем у меня в статье 1000 слов, у статьи по ссылке — 600, при том что она была записана на 3 часа раньше и половина воды. я же сознательно воду не переводил, но для тех кому очень хочется — есть куски оригиналов.

                    + у меня хотя и перевод весьма «художественный» ( зато с душой :) ) он всравно ближе к оригиналу, чем у той статьи.

                    В общем жалобу про «отсутсвие принципиальных отличий» я пропускаю ;)
                    • 0
                      Зато за эти три часа там дали дельные коментарии — переключится на AES, патчить клиенты. А тут — нет.
                      • +2
                        1 — тут написано про патчи клиентов в секции QA. Там ниодного вопроса из QA секции нет.
                        2 — атакам на TKIP больше 4 лет. давно еще надо было перейти на AES.
                        3 — могли бы сами сюда написать про переключение на AES, если считаете этот совет полезным, вместо того чтобы жаловаться.
                        4 — ответ от автора по поводу AES-only режима.
                        I'm using WPA2 with only AES. That's also vulnerable?
                        Yes, that network configuration is also vulnerable. The attack works against both WPA1 and WPA2, against personal and enterprise networks, and against any cipher suite being used (WPA-TKIP, AES-CCMP, and GCMP). So everyone should update their devices to prevent the attack!
                        • +2
                          AES дает только читать, другие режимы — читать и писать.
                          Я, например, не в курсе про «давно надо было перейти на AES».

                          Собственно я и написал и дал кросс-ссылку.
            • 0
              Печально весьма, ибо множество устройств не обновить принципиально. Если выпустят доступный широкой аудитории эксплойт-пак (а его выпустят), то придется использовать vpn поверх любого wifi, а не только открытого.
              • +22
                Мало кто знает, что буква S в аббревиатуре IoT означает Security
                • +4
                  Internet of ThingS. она там есть. но явно на последнем месте :)
                  • +2
                    В Android тоже.
                    • +2
                      Осталось всего четыре версии подождать.
                      • 0
                        Зачем же сидеть на стоковых прошивках?
                        • +2
                          А на альтернативных прошивках Android S выйдет раньше? (Шутка была о букве 'S' в названии, если кто не понял.)
                          • +1
                            Признаю ошибку, не понял, наверное спать больше надо
                          • 0
                            Затем что не все пользователи в состояние прошить свое Android устройствo. У меня например при обновлении через OTA с 5 на 6 Android английская версия сменилась китайской без Google сервисов. Очень нравишься куча устройств останутся дырявыми
                            • –1
                              Почему не реализована защита основанная на мощности излучение от точки доступа. Hапример зная расстояние между роутером и клиентам типичное значение пинга и скорость распространения радиоволн можно запретить любoe другое подключение с иными параметрами на стороне клиента или сервера.
                              • +1
                                И стоять на месте.
                                • 0
                                  Зачем же сразу ёрничать, кому важна безопасность выбрал бы дополнительную дополнительную защиту, сужу по себе и своим знакомым никто не бегает с вай фай устройствами по квартире или рабочему месту а работает сидя или лежа.
                    • +3
                      до тех пор, пока VPN разрешен :)
                    • +2
                      Нормальное обсуждение есть тут habrahabr.ru/company/pentestit/blog/340182

                      Если коротко, то патч роутера не помогает, надо пропатчить все клиенты или просто работать с вайфай как с открытым соединением — тоесть https, vpn(что я всегда и делаю).
                      • +1
                        Достаточно обновить клиенты, если на роутер нет прошивки, а верно ли обратное, будет ли достаточно обновить роутер, не трогая клиентов?
                        • +2
                          Нет, недостаточно. Уязвимость в клиентской части.
                          • для чего тогда обновляют(патчат) прошивки роутеров?
                            • +2
                              Чтоб убрать уязвимость при wifi repeater,relay и в режиме точки доступа
                        • 0
                          Увидел новость, обновил парой кликов Mikrotik, спасибо =)
                          • 0
                            Мой внутренний параноик пытается самоубиться после таких новостей.
                            • 0
                              … но не разрешает себе открыть сейф с револьвером, потому что подозревает, что это может быть опасно.
                              • –1
                                С другой стороны, есть и плюсы — вай-фай внезапно стал открыт как никогда :)
                            • 0
                              Написал в саппорт Д-линка, самому стало интересно-пришлют-ли новую прошивку на роутер.
                              • 0
                                У меня DIR-300 самой первой ревизии, теперь, похоже, превратился в тыкву.
                                Нет, в саппорт писать не буду, я не такой оптимист. ) Да и вспоминая, с каким скрипом эти люди из Dlink наконец-то написали прошивку, которая наконец перестала блокировать некоторые сайты…
                                Жаль его, все что могло сломаться, уже сломалось — блок питания и после замены, девайс уже скоро как 10 лет работает 24/7 без нареканий.
                                Ё-маё, теперь и в ноутах wifi убит, и в телевизоре, в старой нокии, все эти устройства не получат обновлений. Но я хотя бы знаю об этом всём, а глядючи в inSSder на сетки моих любимых соседей, загадивших весь эфир (абсолютно ненамеренно), нет никаких сомнений, что о происходящем они не узнают еще лет 10.
                                • +1
                                  Ответили оперативно.Молодцы.
                                  Здравствуйте.
                                  Спасибо за ваше обращение.
                                  Если вы используете модель Вашего роутера в классическом режиме работы — беспроводной маршрутизатор, то данная уязвимость не распространяется на это устройство. Если вы используете устройство в режиме WDS, пожалуйста сообщите нам об этом.
                                  Условия возникновения уязвимости:
                                  — Физические ограничения: атака происходит только тогда, когда злоумышленник находится в непосредственной близости от беспроводного диапазона вашей сети.
                                  — Ограничение по времени: атака происходит только при подключении или повторном подключении к сети существующей Wi-Fi.
                                  Описание уязвимости:
                                  TP-LINK знает об уязвимостях на уровне протокола, которые влияют на некоторые из продуктов, реализованных в WPA-2. Злоумышленник в пределах сети Wi-Fi может использовать слабые стороны протокола, используя атаки на повторную установку ключей (KRACK). По словам автора исследования KRACKs Mathy Vanhoef, атака направлена против «рукопожатия» WPA-2 и не использует точки доступа и роутеры, а вместо этого нацелена на клиентов.
                                  В первую очередь Вам нужно побеспокоиться об обновлении для своих клиентских устройств, т.к. обновление роутера проблемы никак не решит. Злоумышленник «перехватывает» данные, которые до роутера не доходят.
                                  • 0
                                    Это можно и в статью добавлять.
                              • –3
                                Это фича :), недавно был пост про гигиену использования WiFi в рамках жилых домов и большой плотности устройств, теперь ничто не мешает зайти на точки к соседям выставить «правильно» необходимые каналы и мощности передачи согласно доктрине :).

                                П.С. Поскольку досаточно быть в радиусе действия точек, а все любят мощность ставить повыше, «один маленький но гордый» специалист сможет перенастроить полдома.
                                • 0
                                  А когда я больше года назад говорил, что в «стране обетованной» есть железка, которая перехватывает весь трафик WiFi — меня заминусовали. Естественно что техническими подробностями они не делились, ибо железки используются «все_в_курсе_какими_службами» — ошибка же на уровне протокола…
                                  • 0
                                    Правильно ли я понимаю, что если использовать тот же самый уязвиный и необновленный роутер, но подключившись к нему по кабелю — мы не будем уязвимы этой атаке?
                                    • 0
                                      Да, при подключении через кабель уязвимость не относится.

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                    Интересные публикации