FavoriteLoading
0

EYReinstallationATTACKS-WPA2 加密协议已被攻破?

WiFi危机!KRACK攻击可劫持WAP2通信数据

外媒ars technica 报道,用于保护无线路由器和联网设备不被入侵的 WPA2 安全加密协议,应该已经被破解了!

利用这些漏洞的影响包括解密、数据包重播、TCP连接劫持、HTTP内容注入等。换句话来说,只要你的设备连上了WiFi,那都有可能被攻击!

这意味着在家或办公室的 Wi-Fi 物理覆盖范围内,黑客可以监听你的网络活动、拦截不安全或未加密的数据流 —— 比如未启用安全超文本传输协议网站的密码、或者家用安防摄像头与云端之间的视频流。

据通用漏洞披露(CVE)所述,该概念验证攻击被称作“KRACK”(Key Reinstallation Attacks),可译做“密钥重装攻击”,预计会在美国东部时间(EST)10月16日上午 8 点公布,更多信息可登陆 krackattacks.com 网站查看更多内容。

其实,这个漏洞早在今年8月,就已经在拉斯维加斯的Black Hat Conference上被提出。

我们的攻击并不限于回收登录凭据(电子邮件地址和密码)。通常,任何数据或信息的传送,受害者可以被解密。此外,取决于正在使用的设备和网络的设置,还可以向受害者发送解密数据(例如网站)的内容。尽管可以使用HTTPS网站或应用程序作为额外的保护,这种额外的保护,我们警告仍可被绕过的令人担忧的局势。例如,HTTPS是先前在旁路非浏览器软件,在苹果的iOS和OSX,在Android应用程序,在Android应用程序再次,在银行应用领域,甚至在VPN应用

细节

我们主要是针对攻击的4路握手的WPA2协议。这种握手当客户端想加入受保护的Wi-Fi网络,并且用于确认客户端和接入点具有正确的证书(例如共享口令的网络)。同时,在4次握手协商后的新加密密钥来加密所有后续通信量。目前,现代所有Wi-Fi网络使用被保护的4-路握手。这意味着所有这些网络都是受我们的(一些变型)攻击。例如,攻击的个人和企业对Wi-Fi网络,对年长的WPA和WPA2的最新标准,甚至对网络仅使用AES。 我们所有的新型攻击技术使用WPA2密钥重新安装布莱恩(攻击):

重新安装攻击键:高级描述

在重新安装的攻击重点,敌人诱骗受害者到重新安装已使用的密钥。这是通过操纵和重放加密握手消息。当受害人重新安装所述密钥的相关参数,比如增量发送分组的数目(即数量)和分组接收随机数(即回放)计数器被重置为其初始值。基本上,为了保证安全性,密钥应该仅被安装并被使用一次。不幸的是,我们发现这并不保证由WPA2协议。通过密码握手操作,我们可以拿着这个弱点。

重新安装钥匙攻击:与具体例4-路握手

如“本文介绍的研究背后的想法,攻击的密钥重新安装可总结如下。当一个客户加入网络时,其执行4次握手以协商的加密密钥。它将安装此密钥接收消息3后的4路握手。一旦密钥被安装时,它将被用来使用正常数据帧加密的加密。然而,因为消息可能被丢失或丢弃的情况下,接入点(AP)将重传消息3,如果未收到适当响应作为确认。结果,客户端可以接收多个消息3次。每当其接收到该消息,将其重新安装在相同加密密钥,从而复位增量传输的分组数(nonce)并接收重放计数器使用的加密协议。我们发现,攻击者可以强制这些随机数重置通过收集和重放消息3的重发的4路握手。通过迫使重用随机数以这种方式,加密的协议可以被攻击,例如,分组可被重放,解密,和/或锻造。同样的技术也可用于攻击的组密钥,peerkey、TDLS、握手和快速BSS转换。

实际影响

我们认为,实际上是最普遍、最有效的进攻是攻击键重新安装在4路握手。我们对这两个基本判断意见。第一,在我们的研究发现,大多数客户都受到影响。第二,对手可以使用此攻击来解密由客户端所发送的分组,从而允许它们拦截敏感信息(如密码或cookie。解密的分组是有可能的,因为密钥重新安装攻击随机数,使发送分组(有时也称为数字或者初始化向量)被重置为零。结果,加密密钥是使用相同的nonce值已过去。然后,所有的重用WPA2加密协议密钥流当加密分组。在消息的情况下,具有已知内容密钥流重用,变得平凡使用的密钥流。该密钥流可以然后被用于解密消息的相同随机数。当不存在已知的内容,解密分组,尽管仍可能在几种情况下(如。英语文本仍可被解密)。在实践中,分组具有已知内容不是问题,所以可以假定,任何分组能够被解密。

能力解密密钥用于解密分组可以是TCPSYN分组。这允许对手获得序列号的TCP连接,和TCP连接劫持。结果,即使是使用WPA2,对手现在可以执行的最常见的攻击打开Wi-Fi网络中的恶意数据注入到未加密的HTTP连接。例如,攻击者可以滥用此注入恶意软件网站勒索或成为受害者。

如果受害者使用的GCMP加密或WPA-TKIP协议,而不是AES-CCMP,所以影响特别严重。针对这些加密协议、随机重用的敌人不仅能够解密,还伪造分组注入。此外,因为使用同一认证密钥GCMP在两个通信方向,并且如果该密钥的Nonce可以回收重复使用,特别受影响。注意,支持GCMP当前正在以名称无线千兆(WiGig),预计通过以高速率在接下来的几年。

在该方向上,分组可以被解密(并且有可能被伪造)取决于握手。,简化的4路握手,我们能够解密和发送的分组(伪造)通过客户端。当攻击快速BSS转换(FT)握手,我们能够解密和发送的分组(锻造)客户端。最后,大多数的我们也允许重放攻击的单播、广播和多播帧。有关进一步详情,参见第6节。我们的研究论文

注意,我们进攻无法恢复密码的Wi-Fi网络。他们也不回收(部分)的任何新的加密密钥的协商过程的4路握手。

Android和Linux

特别是对我们的攻击和灾难性版本2.4以上的wpa_supplicant,Wi-Fi客户机通常使用Linux。这里,将安装了客户端的零加密密钥而不是重新安装的真正关键。此漏洞是由于通过采用Wi-Fi标准,建议清除该加密密钥从存储器已安装。当客户端在接收到重传的消息3的4向握手,其现在将重新安装-清除加密密钥、安装的所有零有效密钥。因为Android采用wpa_supplicant,Android6.0以上、也含有该漏洞。这使得平凡的截取和发送的流量操纵这些Linux和Android设备。注意,当前41%的安卓设备这一特别容易遭受毁灭性的打击。

CVE标识符分配

以下通用漏洞披露(CVE)标识符被分配给跟踪哪些产品受特定实例的密钥重新安装攻击:

  • CVE-2017-13077重新安装:成对PTK加密密钥(TK)中的4-路握手。
  • CVE-2017-13078重新安装:将群密钥(GTK)的4-路握手。
  • CVE-2017-13079:重新安装igtk完整性密钥(组)中的4路握手。
  • CVE-2017-13080重新安装:将群密钥(GTK)在组密钥握手。
  • CVE-2017-13081完整性:重新安装igtk)在组密钥(组密钥握手。
  • CVE-13082-2017接受了重发:快速BSS转换(FT)和重新安装的重新关联请求加密密钥(PTK(pairwise-TK)同时处理。
  • CVE-13084-2017:重新安装在键STKpeerkey握手。
  • CVE-2017-13086重新安装:将隧道直接链路建立(TDLS)peerkey(TPK)密钥在TDLS握手。
  • CVE-2017-13087重新安装:将群密钥(GTK)时处理无线网络管理(WNM)睡眠模式响应帧。
  • CVE-13088-2017重新安装:将群组密钥完整性)(处理当igtk无线网络管理(WNM)睡眠模式响应帧。

注意,每个CVE标识符表示的特定实例的密钥重新安装。这意味着每个CVEID协议描述了特定的脆弱性,因此许多厂家受每个个体CVEID。你还可以阅读VulnerabilityNoteVU#228519CERT/CC的附加的细节中产品受到影响。

这两名研究人员通过专门的网站https://www.krackattacks.com/详述新型攻击---“密码重装攻击”(Key Reinstallation Attack, KRACK)。研究人员称发现 WPA2协议中存在严重漏洞。无线覆盖范围内的攻击者可利用这些漏洞发起KRACK攻击。具体而言,攻击者能利用这种新型攻击技术读取先前人们认为经过加密安全处理的信息。攻击者利用该技术能窃取敏感信息,例如信用卡号、密码、聊天信息、电子邮件、照片等。此类攻击对现代所有受保护的无线网络均奏效。攻击者甚至还可以根据网络配置注入并操控数据,例如,攻击者或可能将勒索软件或其它恶意软件注入网站。

这个攻击的前提条件可能需要攻击者已经可以搜索到你的WiFi信号,也就是在既定的物理范围内才可以发动“KRACK”攻击。

美国CERT发布受影响厂商列表

        研究人员指出,这些漏洞存在于WPA2协议当中,而非单个产品或实现当中。因此,任何使用WPA2协议的无线网络均可能受到影响。要阻止此类攻击,用户必须尽快更新受影响的产品。支持无线功能的设备最有可能受到影响。研究人员的初步研究显示,Android、 Linux、Apple、Windows、OpenBSD、MediaTek、Linksys等均受到影响。其中 OpenBSD 于 7 月 15 日收到通知但抢在正式公开前的 8 月 30 日就释出了补丁美国国土安全部旗下计算机应急响应小组(CERT)披露的受影响部分产品见下图:

要查询完整的受影响产品,可参见以下网址:

https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4

或咨询厂商。

KRACK攻击演示PoC

研究人员通过视频演示了针对一台Android智能手机发起的KRACK攻击的PoC。演示视频中,研究人员能解密受害者传输的所有流量。这对攻击者而言易如反掌,因为KRACK攻击对Linux和Android 6或更高版本相当具有破坏性。这是因为Android和Linux能被诱骗重装全部为零的密钥。当攻击其它设备时,加密所有数据包相对较难,但解密大量数据包没有问题。演示视频如下:

研究人员指出,攻击不限于获取登录凭证。一般而言,受害者传输的任何数据或信息均能被解密。研究人员警告称,此类攻击还可能会绕过网站或应用程序使用的HTTPS保护层。

攻击细节

研究人员的攻击主要针对WPA2协议的四次握手(4-Way Handshake)发起。当客户端希望加入受保护的无线网络时会执行四次握手,其被用来证实客户端及访问拥有正确的凭证。与此同时,四次握手还会与加密后续流量的新加密密钥协商。如今,所有受保护的无线网络均会使用四次握手,这就意味着所有这类网络均均可能遭到此类攻击影响。

简单来说,就是攻击者可KRACK实施中间人攻击,迫使受害者重装加密密钥。

密钥重装攻击(KRACK):大致描述

“密钥重装攻击”中,攻击者可操控并重放加密握手信息,以此诱骗受害者重装已经在使用的密钥。当受害者重装密钥时,诸如增量传输包号(即Nonce)和接收包号(即重放计数器)会重置为初始值。要保证安全性,密钥仅应安装并立即使用,而这一点无法在WPA2协议中得到保证。攻击者可操控加密握手滥用漏洞。

密钥重装攻击(KRACK):针对四次握手的具体攻击例子

客户端加入网络时会执行四次握手与新加密密钥协商。客户端会在接收Message 3安装密钥。密钥安装后,密钥会通过加密协议加密正常的数据帧。但是,由于信息可能会丢失,访问点未接收到合适的响应时会重新传输Message 3。因此,客户端也许会多次接收Message 3。当客户端每次接收Message 3都将重装相同的加密密钥,借此可重置WPA2使用的增量传输包号(Nonce)和接收重放计数器。研究人员指出,攻击者可收集并重放四次握手的Message3,从而迫使Nonce重置。一旦Nonce以这种方式重用,WPA2加密协议就面临攻击风险,例如包可能会被重放、解密和/或伪造。

这意味着在你家或办公室 Wi-Fi 物理覆盖范围内的攻击者,都可以发动入侵,监听你的网络活动、拦截不安全或未加密的数据流 —— 比如未启用安全超文本传输协议网站的密码、或者家用安防摄像头与云端之间的视频流。

研究人员去年发现漏洞

Vanhoef 2016年发现漏洞,一直在研究这种攻击方式。他今年7月向通知了部分受影响的厂商。美国应急响应小组(US-CERT)今年八月底向更多厂商发出通知。

《重用WPA2中的随机数Nonce》

从国际计算机协会网站的初步议程来看,Vanhoef 和 Frank Piessens(弗兰克·皮森斯)将于11月1日下午在国际计算机协会上详细介绍KRACK攻击方式。这两名研究人员已公开研究论文“Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2”(密钥重装攻击:重用WPA2中的随机数Nonce)。

WPA2与随机数Nonce

WPA2使用4次握手的方式来产生所需要的密钥。四次握手通过一系列的交互,从PMK(Pairwise Master Key)生成PTK(Pairwise Transient Key)。生成PTK,需要5个必要元素,PMK,随机数A-Nonce,随机数S-Nonce,Authenticate MAC,Supplicant MAC。

《Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2》论文下载

WiFi不再安全,普通用户如何应对?

现在恐怕最焦头烂额的要数路由厂商了,因为WPA2加密协议几乎是所有路由的默认安全加密手段,一旦攻破网络安全就不复存在,而新的防御措施何时才能发挥作用是个很现实的问题。

作为用户,这段时间请尽可能加强防御意识,比如多留意是否启用了安全超文本传输协议,总之一切小心。

如有条件,可借助虚拟专用网来加强网络安全。此外,如果你家中有许多智能家居设备,也请多关注制造商公布的安全公告,并及时调整配置或打上补丁。

本文部分参考:E安全