沙龙晃荡 | 去哪儿、陌陌、ThoughtWorks在主动化运维中的实践!10.28不见不散!
0x00 马脚概述
WiFi收集经由过程WPA2 handshake四次握手消息协商用于后续数据通信的加密密钥,个中交互的第三个消息报文被修改重放,可导致中心人进击重置重放计数器(replay counter)及随机数值(nonce),重放给client端,使client安装上不安然的加密密钥。
此马脚进击方法被定名为Key reinstallation attacks密钥重装进击,除了影响已经在用的数据加密密钥,同时也影响PeerKey, group key, Fast BSS切换FT握手等,会导致WiFi通信数据加密通道不安然,存在被嗅探、修改和重放等风险,进击者可获取WiFi收集中的数据信息。
几乎所有支撑Wi-Fi的设备(Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys等)都面对安然威逼,伤害较大年夜。
该马脚相干幼ê帷决于被进击的握手过程和数据加密协定,例如AES-CCMP可被重放和解密,TCP流量存在被劫持和注入恶意流量的可能,WPATKIP和GCMP可被重放、修改及解密,影响会更大年夜,因为GCMP两端应用的雷同的认证密钥。
相干CVE如下,个中每个CVE代表一种特定场景下的密钥重装进击。
l CVE-2017-13077: 四次握手过程中重装PTK-TK加密密钥对
l CVE-2017-13078: 四次握手过程中重装GTK
l CVE-2017-13079: 四次握手过程中重装IGTK
l CVE-2017-13080: Group key 握手过程中重装GTK
l CVE-2017-13081: 握手过程中重装IGTK
因为WEP已被证实为不安然的协定,在802.11i协定完美前,采取WPA为用户供给一个临时性的解决筹划。该标准的数据加刺探取TKIP协定(Temporary Key Integrity Protocol),TKIP的两个重要功能是:逐包密钥及消息完全性检成就MIC),与WEP雷同的加密算法RC4来实现这一点,固然TKIP解决了所有已知的WEP问题,但WPA2的AES加密更安然,适应更广泛的工业标准并在实践中广泛应用。
l CVE-2017-13082: 接收重传的快速BSS切换重接洽关系请求,在处理过程中重安装PTK-TK加密密钥对
l CVE-2017-13084: 在PeerKey握手过程中重安装STK KEY
l CVE-2017-13087: 在处理WNM睡眠模式响应帧过程中重安装GTK
l CVE-2017-13088: 在处理WNM睡眠模式响应帧过程中重安装IGTK
l CVE-2017-13086: 在DTLS握手过程中重安装TDLS PeerKey
马脚进击演示视频:
https://www.youtube.com/watch?v=BtdN1SM5Z5o
0x01 WPA2协定介绍
WPA全名为Wi-Fi Protected Access,有WPA和WPA2两个标准, WPA(Wi-Fi Protected Access)加密方法今朝有四种认证方法:WPA、WPA-PSK、WPA2、WPA2-PSK,采取的加密算法有两种:AES(Advanced Encryption Standard高等加密算法)和TKIP(Temporal Key Integrity Protocol临时密钥完全性协定)。
WPA2是WPA的加强型版本,与WPA比拟,WPA2新增了支撑AES的加密方法,采取AES加密机制。
0x02 Key reinstallation attacks密钥重装进击
四次握手协商密钥过程中消息报文见图1EAPOL格局,个中重放计数replay counter字段用于检测反复报文,每次发送一个报文,重放计数加一,nonce字段为加密密钥生成所须要的随机数。
图1 EAPOL帧简化报文格局
以group key为例,起首Client进入PTK-INIT状况,初始化(PMK),当接收到消息1进入PTK_START状况,client会生成随机数SNonce,计算临时TPTK,发送消息2(带SNonce)到AP,当Client接收到消息3,replay counter重放计数等有效的前提下,进入PTK-NEGOTIATING协商状况,同时标记TPTK为有效,发送消息4到AP,然后直接进入PTK-DONE状况,应用MLME-SETKEYS安装KEY。特别留意的是,此状况机过程来自于802.11标准,清楚的┞峰酌了未收到消息2或者4的情况,消息1或者3会持续重传。具体如下:
图2 四次握手状况机,KEY用MLME-SETKEYS.request敕令字进行安装
当client作为Supplicant参加wifi收集,client与AP认证端Authenticator进行四次握手协商新的加密密钥,见下图3,在接收到四次握手中的第3个消息报文时会安装新生成的加密密钥,后续数据通信应用该密钥进行数据加密。
因为报文可能损掉,如不雅AP未接收到client的响应会重发第三个消息报文,所以client可能反复接收到第3个消息报文多次。每次当client接收到此消息,都邑从新安装雷同的加密密钥,然后重置协定加密应用到的nonce值及重放计数。
进击者可经由过程嗅探、重放四次握手过程中的第3个消息报文,强迫重置协定加密应用到的nonce值及重放计数,重安装加密密钥,大年夜而进击协定的加密机制,数捷报文可被重放、解密及修改。
图3 Group Key场景四次握手
该进击办法同时可用于进击已在应用的加密密钥、group key、PeerKey, TDLS及快速BSS切换握手等。
0x03 马脚根因分析及影响
802.11协定标准仅供给描述粗粒度的伪码描述四次握手的状况机,但并未清楚描述特定的握手消息应当在什么时刻处理。
密钥重装马脚滥用了消息3重传的流程,起首在Client和AP之间肯定MitM中心人进击的点,在AP接收到消息4之前赓续重传修改后的消息3,导致Client从新安装已用的加密密钥,同时重置nonce值。
2、 及时进级此马脚的安然补丁(有补丁的情况),更新WPA2客户端到最新版本;
安然研究察Mathy Vanhoef发明的WPA2协定的KRA(Key Reinstallation Attacks)马脚,应用WPA2协定标准加密密钥生成机制上的设计缺点,四次握手协商加密密钥过程中第三个消息报文可被修改重放,导致在用密钥被从新安装。
推荐阅读
“GATE+”安然测试治理模式 沙龙晃荡 | 去哪儿、陌陌、ThoughtWorks在主动化运维中的实践!10.28不见不散! 跟着移动应用、互联网+时代的到来,几乎每个银行的都已经把重要的营业>>>详细阅读
地址:http://www.17bianji.com/lsqh/38018.html
1/2 1
网友点评
精彩导读
科技快报
品牌展示