Mathy Vanhoef ha scoperto gravi vulnerabilitร in WPA2, un protocollo che protegge tutte le moderne reti Wi-Fi.ย Un utente malintenzionato presente nelle vicinanze di una vittima puรฒ sfruttare queste debolezze utilizzandoย kย eyย rย einstallationย unย ttaย ckย s (KRACKs).ย In concreto, gli attaccanti possono utilizzare questa nuova tecnica di intrusione per leggere le informazioni precedentemente registrate per essere crittografate in modo sicuro.ย Ciรฒ puรฒ essere usato per rubare informazioni sensibili come i numeri di carta di credito, le password, i messaggi di chat, le email, le foto e cosรฌ via.ย L’attacco funziona contro tutte le moderne reti Wi-Fi protette.ย A seconda della configurazione di rete, รจ anche possibile iniettare e manipolare i dati.ย Ad esempio, un aggressore potrebbe essere in grado di iniettare ransomware o altri malware nei siti web.
Le debolezze sono nello standard Wi-Fi stesso e non nei singoli prodotti o nelle implementazioni.ย Pertanto, รจ possibile che venga compromessa una corretta implementazione di WPA2.ย Per prevenire l’attacco, gli utenti devono aggiornare i prodotti interessati non appena gli aggiornamenti di protezione diventano disponibili.ย Tieni presente cheย se il tuo dispositivo supporta Wi-Fi, รจ probabilmente vulnerabileย .ย Durante la ricerca iniziale, รจ stato scoperto che Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys e altri sono tutti colpiti da una variante degli attacchi.ย Per ulteriori informazioni su prodotti specifici, consultare ilย database di CERT / CCย o contattare il proprio fornitore.
La ricerca sarร presentata allaย conferenzaย Computer and Communications Security (CCS)ย e alla conferenza diย Black Hat Europe.ย Il nostro documentoย dettagliato sulla ricercaย puรฒ essere giร scaricato.
Come funziona l’attacco
Come proof of concept i ricercatori hanno eseguito un attacco Kracks su uno smartphone Android.ย In questa dimostrazione, l’attaccante รจ in grado di decrittografare tutti i dati che la vittima trasmette.ย Per un attaccante questo รจ facile da realizzare, perchรฉ il nostro attacco รจ estremamente devastante contro Linux e Android 6.0 o superiore.ย Questo perchรฉย Android e Linux possono essere ingannati nell’installazione di una chiave di crittografia.ย Quando attacca altri dispositivi, รจ piรน difficile decrittografare tutti i pacchetti, anche se un grande numero di pacchetti puรฒ comunque essere decifrato.ย In ogni caso, la seguente dimostrazione mette in evidenza il tipo di informazioni che un aggressore puรฒ ottenere quando esegue attacchi Kracks su reti Wi-Fi protette:
L’attacco non รจ limitato al recupero delle credenziali di accesso (ad esempio indirizzi e-mail e password).ย In generale, tutti i dati o le informazioni che la vittima trasmette possono essere de-crittografati.ย Inoltre, a seconda del dispositivo utilizzato e della configurazione della rete, รจย possibile de-crittografareย i dati inviati verso la vittima (ad es. Il contenuto di un sito web).ย Anche se i siti web o le applicazioni utilizzano HTTPS come un ulteriore livello di protezione, segnaliamo che questa protezione aggiuntiva puรฒ (ancora) essere ignorata in un numero preoccupante di situazioni.ย Ad esempio, HTTPS รจ stato precedentemente ignorato nelย software non browserย , inย iOS e OS X di Appleย , nelleย applicazioni Androidย , nelleย applicazioni Android ancora una voltaย nelleย applicazioni bancarie, e anche nelleย applicazioni VPN.
Dettagli sull’attacco Kracks
L’attacco principale รจ contro l’inizio della comunicazione (4-way handshake) del protocollo WPA2.ย Questo viene eseguito quando un client desidera entrare in una rete Wi-Fi protetta e viene utilizzato per confermare che sia il client sia il punto di accesso possiedono le credenziali corrette (ad esempio la password predefinita della rete).ย Allo stesso tempo, la comunicazione invia anche una nuova chiave di crittografia che verrร utilizzata per proteggere tutto il traffico successivo.ย Attualmente, tutte le moderne reti Wi-Fiย usano 4-way handshake.ย Ciรฒ implica che tutte queste reti sono influenzate dallo stesso tipo di attacco (con qualche variante).ย Ad esempio, l’attacco funziona contro le reti Wi-Fi personali e aziendali, contro i precedenti WPA e gli ultimi standard WPA2, e anche contro le reti che utilizzano solo AES.ย Tutti i nostri attacchi contro WPA2 usano una nuova tecnica chiamata keyย reinstallationย attacks (KRACK).
Keyย reinstallationย attacks: descrizione di livello elevato
In un attacco key reinstallation attacks, l’avversario si oppone a una vittima nella reinstallazione di una chiave giร in uso.ย Ciรฒ รจย ottenuto manipolando e ripetendo messaggi di handshake crittograficiย .ย Quando la vittima reinstalla la chiave, i parametri associati, come il numero di pacchetti di trasmissione incrementale e il numero del pacchetto di ricezione vengono reimpostati al loro valore iniziale.ย Essenzialmente, per garantire la sicurezza, una chiave deve essere installata e utilizzata una sola volta.ย Purtroppo abbiamo visto che questo non รจ garantito dal protocollo WPA2.ย Manipolando l’handshakeย crittografico, possiamo forzare questa debolezza.
Keyย reinstallationย attacks: esempio concreto contro la 4-way handshake
Come descrittoย nell’introduzione del documento di ricerca, lo sviluppo di un attacco di questo tipo puรฒ essere riassunto come segue:
quando un client entra in una rete, esegue un 4-way handshake (IEEE 802.11i)ย per negoziare una nuova chiave di crittografia.ย Installerร questa chiave dopo aver ricevuto il messaggio 4-way handshake.ย Una volta installata la chiave, questa verrร utilizzata per crittografare i frame di dati utilizzando un protocollo di crittografia.ย Tuttavia, poichรฉ i messaggi possono essere persi o scartati, il punto di accesso (AP) ritrasmetterร il messaggio 3 se non ha ricevuto una risposta appropriata come conferma.ย Di conseguenza, il client puรฒ ricevere il messaggio 3 piรน volte.ย Ogni volta che riceve questo messaggio, reinstalla la stessa chiave di crittografia e quindi ripristina il numero di pacchetti di trasmissione incrementale.ย E’ dimostrato cheย un aggressore puรฒ forzare questi reset raccogliendo e ripetendo le ritrasmissioni del messaggio 3 del 4-way handshake.ย Forzando il riutilizzo della chiave inviata il protocollo di crittografia puรฒ essere attaccato, i pacchetti possono essere riprodotti, decrittografati e/o ricreati.ย La stessa tecnica puรฒ essere utilizzata anche per attaccare la chiave PeerKey, TDLS e la BSS transition handshake.
Impatto pratico sulle reti wifi
L’attacco piรน diffuso e piรน efficace รจ l’attacco Kracks contro il 4-way handshake.ย Questo giudizio รจ basato su due osservazioni.ย In primo luogo, durante la ricerca i tecnici hanno scoperto che la maggior parte dei client sono stati colpiti da questa vulnerabilitร .ย In secondo luogo, si puรฒ utilizzare questo attacco per decodificare i pacchetti inviati dai client, consentendo quindi di intercettare informazioni sensibili quali password o cookie.ย La decrittazione dei pacchetti รจ possibile perchรฉ un attacco Kracks provoca l’azzeramento dei nodi di trasmissione (talvolta chiamati anche numeri dei pacchetti o vettori di inizializzazione).ย Di conseguenza,ย la stessa chiave di crittografia viene utilizzata con i valori giร utilizzati in passato.ย Nel caso in cui un messaggio che riutilizzi il keystream abbia riconosciuto il contenuto, diventa banale derivare il keystream utilizzato.ย Questo keystream puรฒ quindi essere utilizzato per decriptare i messaggi con lo stesso nonce.ย Quando non esiste un contenuto noto, รจ piรน difficile decifrare i pacchetti, anche se teoricamente possibile in molti casi.ย In pratica, la ricerca dei pacchetti con contenuto noto non รจ un problema, quindi si deve supporre che qualsiasi pacchetto possa essere decriptato.
La capacitร di decifrare i pacchetti puรฒ essere usata per leggere i pacchetti TCP SYN.ย Ciรฒ consente ad un intruso di ottenere i numeri di sequenza TCP di una connessione e diย convertire le connessioni TCPย .ย Di conseguenza, anche se viene utilizzato WPA2, l’avversario puรฒ ora eseguire uno degli attacchi piรน comuni contro le reti Wi-Fi aperte: iniettando dati dannosi in connessioni HTTP non crittografate.ย Ad esempio, un aggressore puรฒ iniettare un ransomware o malware nei siti web che la vittima sta visitando.
Se la vittima utilizza il protocollo di crittografia WPA-TKIP o GCMP, invece di AES-CCMP, l’impatto รจ particolarmente catastrofico.ย Contro questi protocolli di crittografia, il riutilizzo di nonce consente ad un avversarioย non solo di de-crittografare, ma anche di creare e iniettare i pacchetti.ย Inoltre, poichรฉ GCMP utilizza la stessa chiave di autenticazione in entrambe le direzioni di comunicazione e questa chiave puรฒ essere recuperata, la vulnerabilitร รจ particolarmente facile da utilizzare.ย Si noti che il supporto per GCMP รจ attualmente in fase di roll-out sotto il nome di Wireless Gigabit (WiGig) e dovrebbe essereย adottato da un tasso elevatoย di sistemi nei prossimi anni.
La direzione in cui i pacchetti possono essere decifrati dipende dalla handshake che viene attaccata.ย Ovvero, quando si attacca la 4 way handshake, possiamo decriptare (e creare) i pacchetti inviatiย dalย client.ย Quando si attacca la handshake della transizione veloce BSS (FT), possiamo decriptare (e creare) i pacchetti inviatiย versoย il client.ย Infine, la maggior parte degli attacchi consente anche la riproduzione di frame unicast, broadcast e multicast.ย Per ulteriori dettagli, vedere la sezione 6 delย documento di ricercaย .
Bisogna notare che gli attacchiย non recuperano la password della rete Wi-Fi.
Kracks su Android e Linux
Il nostro attacco รจ particolarmente invadente contro la versione 2.4 e superiore di wpa_supplicant, un client Wi-Fi comunemente utilizzato su Linux.ย Qui, il client installerร una chiave di crittografia totalmente nulla, invece di reinstallare la chiave reale.ย Questa vulnerabilitร sembra essere causata da una opzione nello standard Wi-Fi che suggerisce di cancellare la chiave di crittografia dalla memoria una volta installata per la prima volta.ย Quando il client riceve un messaggio di ritrasmissione del messaggio 3 della 4-way handshake reinstalla il codice di crittografia prima eliminato, installando in modo efficace un codice a zero.ย Poichรฉ Android utilizza wpa_supplicant, Android 6.0 e superiori contengono anche questa vulnerabilitร .ย Ciรฒ rendeย banale intercettare e manipolare il traffico inviato da questi dispositivi Linux e Androidย .ย Si noti che attualmenteย Il 50% dei dispositivi Androidย รจ vulnerabile a questa variante eccezionalmente devastante del nostro attacco.
Common Vulnerabilities and Exposures (CVE)
- CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
- CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
- CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
- CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
- CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
- CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
- CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
- CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
- CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
- CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
Il Paper
Il documento di ricercaย รจ intitolatoย Attacchi chiave di reinstallazione: Forcing Nonce Reuse in WPA2ย e sarร presentato allaย conferenzaย Computer and Communications Security (CCS)ย mercoledรฌ 1 novembre 2017ย .Anche se questo documento รจ reso pubblico, รจ stato giร presentato per la revisione il 19 maggio 2017. Dopo di che sono stati apportati solo piccoli cambiamenti.ย Di conseguenza, i risultati del documento sono noti giร da diversi mesi.ย Nel frattempo, abbiamo trovato tecniche piรน facili per eseguire il nostro attacco Kracks.ย Con la nostra tecnica di attacco, ora, รจ banale sfruttare le vulnerabilitร .ย In particolare ciรฒ significa cheย attaccare MacOS e OpenBSD รจ significativamente piรน facile di quanto discusso nel documento.
Ora abbiamo bisogno di WPA3?
No, per fortuna i dispositivi possono essere patchati in modo compatibile con le versioni precedenti.ย Ciรฒ significa che un client patchato puรฒ ancora comunicare con un punto di accesso non patchato (AP) e viceversa.ย In altre parole, un client patchato o un punto di accesso invia esattamente gli stessi messaggi di handshake come prima e nello stesso momento.ย Tuttavia, gli aggiornamenti della protezione assicurano che una chiave viene installata una sola volta, impedendo il nostro attacco.ย Quindi, bisogna aggiornare tutti i dispositivi una volta disponibili gli aggiornamenti di protezione.ย Infine, sebbene un client non patchato possa ancora connettersi a un AP patchato, e viceversa,ย siaย il client che l’AP devono essere messi a punto per difendersi da tutti gli attacchi!
Devo cambiare la mia password Wi-Fi?
La modifica della password della rete Wi-Fi non impedisce (o attenua) l’attacco.ย Non รจ quindi necessario aggiornare la password della rete Wi-Fi.ย Al contrario, รจ necessario assicurarsi che tutti i dispositivi siano aggiornati o aggiornare anche il firmware del router.ย Tuttavia, dopo l’aggiornamento sia dei dispositivi client che del router, non รจ mai una brutta idea cambiare la password Wi-Fi.
Questo articolo รจ la traduzione di una parte del sitoย https://www.krackattacks.com/. Altre parti piรน tecniche come il Paper e i software saranno resi noti a breve.
