新しいWPA3標準はまだ運用されていませんが、このプロトコルのセキュリティ上の欠陥により、攻撃者はWi-Fiパスワードを解読できます。
Wi-Fi Protected Access III(WPA3)プロトコルは、長い間KRACK攻撃(キー再インストール攻撃)に対して危険で脆弱であると考えられていたWPA2プロトコルの技術的な欠陥を排除するために開始されました。 WPA3は、Wi-Fiネットワークをオフライン辞書攻撃(オフラインバスティング)から保護することを目的としたDragonflyとして知られているより安全なハンドシェイクに依存していますが、セキュリティ研究者のMathy VanhoefとEyal Ronenは、初期のWPA3-Personal実装に弱点を発見しました攻撃者がタイミングやサイドキャッシュを悪用してWi-Fiパスワードを回復できるようにします。
「攻撃者は、WPA3が安全に暗号化するはずだった情報を読み取ることができます。 これは、クレジットカード番号、パスワード、チャットメッセージ、電子メールなどの機密情報を盗むために使用できます。DragonBloodと呼ばれる本日公開された研究論文で 、研究者はWPA3の2種類の設計上の欠陥を詳細に調べました。
キャッシュに基づくサイドキャッシュ攻撃
Dragonflyのパスワード暗号化アルゴリズムは、ハンティングおよびペッキングアルゴリズムとも呼ばれ、条件分岐が含まれています。 攻撃者がif-then-elseブランチのどのブランチを使用したかを判断できる場合、このアルゴリズムの特定の反復でパスワード要素が見つかったかどうかを確認できます。 実際には、攻撃者が被害者のコンピュータで特権のないコードを実行できる場合、キャッシュベースの攻撃を使用して、パスワード生成アルゴリズムの最初の反復でどの分岐が行われたかを判断できることが発見されました。 この情報を使用して、パスワード分割攻撃を実行できます(これはスタンドアロンの辞書攻撃に似ています)。
この脆弱性は、識別子CVE-2019-9494を使用して追跡されます。
保護は、秘密の値に依存する条件付きブランチを、一定時間の選択ユーティリティに置き換えることで構成されます。 実装では、一定時間のルジャンドル記号計算も使用する必要があります。
同期に基づくサイドチャネル攻撃
Dragonflyハンドシェイクが特定の乗法グループを使用する場合、パスワード暗号化アルゴリズムは可変回数の反復を使用してパスワードをエンコードします。 反復の正確な回数は、使用するパスワードと、アクセスポイントとクライアントのMACアドレスによって異なります。 攻撃者は、パスワード暗号化アルゴリズムに対してリモート一時攻撃を実行して、パスワードのエンコードに必要な反復回数を判断できます。 回復された情報を使用して、スタンドアロンの辞書攻撃に似たパスワード攻撃を実行できます。
同期ベースの攻撃を防ぐには、実装は脆弱な乗法グループを無効にする必要があります。 技術的な観点からは、MODPグループ22、23、および24は無効にする必要があります。 また、MODPグループ1、2、および5を無効にすることをお勧めします。
この脆弱性は、攻撃の実装が類似しているため、識別子CVE-2019-9494を使用して監視されます。
WPA3ダウングレード
15年前のWPA2プロトコルは何十億ものデバイスで広く使用されているため、WPA3は一晩で広く配布されることはありません。 古いデバイスをサポートするために、WPA3認定デバイスは、WPA3-SAEとWPA2の両方を使用して接続を受け入れるように構成できる「移行モード」を提供します。
研究者は、移行モードは、WPA2のみをサポートする不正アクセスポイントを作成するために攻撃者が使用できるダウングレード攻撃に対して脆弱であり、WPA3対応デバイスがWPA2の安全でない4方向ハンドシェイクを使用して接続することを強制すると考えています。
「また、SAEハンドシェイク自体(Symultaneous Peer Authentication、通称Dragonfly)に対するダウングレード攻撃が見つかりました。この攻撃では、デバイスに通常よりも弱い楕円曲線を使用させることができます」と研究者は言います。さらに、ダウングレードで攻撃を実行するために「中間の男」の位置は必要ありません。 代わりに、攻撃者はWPA3-SAEネットワークのSSIDを知るだけで済みます。
研究者は、Wi-Fi Allianceの結果について報告しました。Wi-FiAllianceは、問題を認識し、既存のWPA3認定デバイスを修正するためにベンダーと協力しているWiFi標準およびWi-Fi製品のコンプライアンスを認定する非営利組織です。
PoC
概念を確認するために、研究者は、脆弱性をチェックするために使用できる次の4つの個別のツールをリリースします(GitHubリポジトリ内にハイパーリンクがあります)。
Dragondrainは、WPA3 DragonflyハンドシェイクDos攻撃に対してアクセスポイントがどの程度脆弱かを確認できるツールです。
Dragontimeは、ドラゴンフライハンドシェイクに対して一時的な攻撃を行うための実験的なツールです。
Dragonforceは、一時的な攻撃から回復するための情報を受け取り、パスワード攻撃を実行する実験的なツールです。
Dragonslayerは、EAP-pwdを攻撃するツールです。
Dragonblood:WPA3のSAEハンドシェイクのセキュリティ分析
プロジェクトサイト-wpa3.mathyvanhoef.com