WPA3 Dragonfly握手协议安全分析

导语：近日，安全研究人员Mathy Vanhoef (NYUAD)和Eyal Ronen发现WPA3的握手协议存在安全漏洞。同一网段中的攻击者仍然可以提取出网络密钥，窃取信用卡、密码、邮件等机密信息。

简介

基本上所有的主流WiFi网络都使用WPA2来保护传输的数据。但是WPA2已经发布14年了，Wi-Fi联盟于2018年发布了更安全的WiFi加密协议——WPA3协议，该协议是WPA2技术的的后续版本。WPA3协议的一个主要优点就是使用了Dragonfly握手协议，该协议基本可以保证无法破解网络密钥。

近日，安全研究人员Mathy Vanhoef (NYUAD)和Eyal Ronen发现WPA3的握手协议存在安全漏洞。同一网段中的攻击者仍然可以提取出网络密钥，如果受害者没有使用HTTPS这样的保护机制，攻击者就可以窃取信用卡、密码、邮件等机密信息。

Dragonfly握手协议是WPA3的核心，也用于需要用户名和密码来进行访问控制的WiFi网络中。Dragonfly也用于EAP-pwd（可扩展身份验证-pwd）协议中，研究人员的攻击测试发现针对WPA3的攻击同样适用于EAP-pwd，研究人员还发现一些应用EAP-pwd的产品中的安全漏洞，因此攻击者可以模仿任意用户，在不知道密码的情况下访问WiFi网络。

WPA3漏洞

设计漏洞可以分为两类：

• 针对WPA3设备的降级攻击

• WPA3 dragonfly握手协议（SAE握手）安全漏洞

研究人员在WPA3中发现的漏洞有：

• CERT ID #VU871675 : 针对WPA3-Transtition模式的降级攻击引发词典攻击

• CERT ID #VU871675 : 针对WPA3 Dragonfly握手的安全组降级攻击

• CVE-2019-9494 : 针对WPA3 Dragonfly握手的基于时间的侧信道攻击（Timing-based      side-channel attack）

• CVE-2019-9494 : 针对WPA3 Dragonfly握手的基于Cache的侧信道攻击

• CERT ID #VU871675 : 针对WPA3 Dragonfly握手的资源消耗攻击

所有这些攻击的性价比都极高，成本很低而效果很好。比如降级攻击利用现有的WPA2破解 工具 和硬件就可以实现。侧信道漏洞可以使用那个价值125美元的Amazon EC2暴力破解攻击工具进行。

攻击

针对WPA3-Transtition模式的降级攻击

第一个攻击利用了WPA3的向后兼容特性。为了兼容只支持WPA2的客户端向WPA3过渡，创建了WPA3-Transition模式。在该模式下，WiFi网络支持在WPA2和WPA3下使用相同的密码。研究人员攻击者可以创建一个虚假的网络并迫使支持WPA3的客户端使用WPA2进行连接。获取的部分WPA2握手包可以用于恢复网络密钥。也无须执行mitm攻击。

除了上述设计漏洞外，研究人员还发现Samsung Galaxy S10和iNet Wireless Daemon受到特定实现降级攻击的影响。就是说当客户端连接到只支持WPA3的网络时，攻击者仍然可以迫使客户端使用WPA2。这样攻击者就可以使用暴力破解或词典攻击来恢复网络密钥了。

安全组降级攻击

研究人员还发现一个针对WPA3 Dragonfly握手的降级攻击，其中受害者会被迫使使用一个弱的安全组。启用握手的设备会发送一个含有想要使用的安全组的commit frame。如果AP不支持该组，就会响应一个decline message（递减消息），迫使客户端使用另一个组来发送commit frame。该过程会一直继续直到找到一个双方都支持的安全组。攻击者可以模仿AP并伪造decline message来迫使客户端选择一个弱安全组。

基于时间的侧信道攻击

WPA3一直被认为基本不可能恢复出WiFi网络的密码。但是研究人员发现AP响应commit frame的时间可能会泄露关于密码的信息。当AP使用基于椭圆曲线的安全组时，所有的WPA3设备都要求支持，而且不会泄露时间信息。当AP支持可选乘法安全组模素数时，响应的时间与使用的密码有关。攻击者可以滥用这一信息来执行词典攻击，具体可以通过模拟AP处理每个密码的时间然后与响应时间比较得出。

基于Cache的侧信道攻击

当攻击者可以在受害者设备上观察内存访问模型，同时构建Dragonfly握手的commit frame时，这些内存访问模式会暗含使用的密码的信息。如果攻击者控制了受害者设备上的任意应用或者控制了受害者浏览器中的JS代码，就可以观察这些模式。泄露的模型可以用来执行词典攻击，模拟与猜测的密码相关的内存访问模式，并与观察到的访问模式进行比较。

DOS攻击

启动Dragonfly握手的设备首先会发送一个commit frame。处理该帧并生成答案的计算成本的很高的，如果应用了侧信道攻击防护措施，那么成本尤其高。虽然WPA3含有cookie交换方法来预防使用伪造MAC地址来伪造commit frame。但是绕过很容易。攻击者每秒钟生成16个伪造的commit frame就可以使用AP过载。这种资源消耗攻击会使用AP CPU使用率极高，耗尽电池，防止其他设备使用WPA3连接到AP，并可能停止或影响AP的其他功能。

更多详情参见论文 Dragonblood: A Security Analysis of WPA3's SAE Handshake https://papers.mathyvanhoef.com/dragonblood.pdf

研究人员还发布了开源工具来测试是否收到漏洞的影响：

• Dragonslayer : 可以检测对EAP-pwd的攻击

• Dragondrain :可以用于测试AP是否受到dos攻击

• Dragontime : 用于测试针对SAE握手的基于时间的攻击

• Dragonforce : 从基于时间和cache的攻击中恢复密码的实验工具

本文翻译自：https://wpa3.mathyvanhoef.com/