Publié le : Par : Roméo Diaz Publié dans Non classé

Frag Attacks

Découvertes et baptisées par Mathy Vanhoef (Université de New York Abu Dhabi) le 11 mai 2021, les FragAttacks (fragmentation and aggregation attacks) sont un regroupement d’une douzaine de failles qui affectent non seulement le protocole WEP mais aussi d’autres protocoles récents tels que le WPA3. Les vulnérabilités découvertes se situant principalement dans les échanges avec notamment l’ajout ou la modification d’informations, l’ensemble des terminaux connectés sur le réseau sont donc vulnérables.

Selon les recherches de Mathy Vanhoef, trois des vulnérabilités sont des défauts de conception de la norme 802.11. Le chercheur a également précisé que ces failles sont cependant complexes à exploiter. Toutefois, il attire l’attention sur les failles liées aux défauts d’implémentation du WiFi au niveau des terminaux étant donné que ces derniers peuvent être directement exposés.

Je vais présenter succinctement ci-dessous les 3 défauts de conceptions de la norme 802.11, pour aller plus en détail je vous invite à lire le détail des informations transmises par Mathy Vanhoef.

1- L’attaque par agrégation (CVE-2020-24588)

Le premier défaut de conception se situe au niveau de l’en-tête 802.11 et plus particulièrement sur le flag “is aggregated”, qui lors de la transmission de la trame n’est ni authentifié, ni encrypté. Un attaquant peut par conséquent modifier ce champ et ainsi permettre une injection de paquet. L’un des cas d’attaques serait par exemple de transmettre à un client un serveur DNS malicieux. Après de nombreux tests réalisés par Mathy Vanhoef, il a été remarqué que tous les équipements sont vulnérables à cette attaque.

2- L’attaque à clé mixte (CVE-2020-24587)

Le deuxième défaut de conception au niveau du Wi-Fi se trouve au niveau de la fonction de fragmentation des trames. Cette fonctionnalité, permet en principe, la fiabilité de la connexion à travers la division des grandes trames en de petits fragments. Ainsi, une même clé est utilisée pour chiffrer chaque fragment d’une même trame. Toutefois, les récepteurs n’étant pas dans l’obligation de vérifier les clés, pourraient rassembler des fragments déchiffrés grâce à des clés différentes. Même si les cas sont rares, il est tout de même possible d’exploiter cette faille pour exfiltrer des données. Pour y parvenir, il faut mélanger des fragments chiffrés avec différentes clés.

Il faut dire que ce défaut de conception est corrigeable de façon rétrocompatible à travers un rassemblement exclusif des fragments qui ont été déchiffrés avec une même clé. Cette attaque étant relativement rare, on la classe dans le lot des « attaques théoriques ».

3- L’attaque de fragment de cache (CVE-2020-24586)

Le troisième défaut de conception du Wi-Fi tout comme le deuxième, est au niveau de la fonction de fragmentation de trame. Le problème réside dans le fait que lorsqu’un utilisateur se déconnecte du réseau, le périphérique Wi-Fi ne supprime pas forcément les fragments de la mémoire, qui sont restés non rassemblés. Ceci peut occasionner des abus notamment au niveau des réseaux de type hotspot . Ce défaut de conception peut occasionner une exfiltration des données à travers l’injection dans le « cache de fragments » d’un fragment malveillant. Ainsi, lors de l’envoi d’une trame fragmentée par la victime après connexion au point d’accès, les fragments sélectionnés sont combinés à ceux injectés par l’adversaire. Ce défaut de conception est corrigeable de manière rétrocompatible. Pour y parvenir, il suffit de supprimer les fragments lors de la « reconnexion » ou de la déconnexion à un réseau.

4- Quelques autres cas

Une autre faille qu’il est important de noter est celle remarquée sur certains routeurs qui transfèrent les trames EAPOL à un autre client avant même que l’expéditeur ne s’authentifie. À travers cette vulnérabilité, des attaques peuvent être effectuées par agrégation en injectant des trames arbitraires sans aucune interaction de l’utilisateur. L’autre défaut d’implémentation qui est très fréquent concerne les récepteurs qui ne vérifient pas que tous les fragments appartiennent à la même trame. Cette faille peut permettre de former d’autres trames qui proviennent du mélange de deux différentes trames. Certains périphériques ne prennent pas en charge l’agrégation ou la fragmentation, mais restent tout de même vulnérables aux attaques étant donné qu’ils considèrent les trames fragmentées comme étant des trames complètes. Il est possible que cette faille puisse être utilisée pour injecter des paquets.

Plus de détail à suivre

Pour aller plus loin :

https://www.fragattacks.com/

Publié le : Par : Roméo Diaz Publié dans Non classé

Découverte du WPA3

Publié par la Wi-Fi Alliance en 2018, le protocole WPA3 est une version mise à jour du protocole WPA2 sortie en 2004. Cette mise à jour permet une meilleure sécurisation des échanges ainsi qu’une évolution en lien avec le développement des usages (multiplication des hotspot, IoT, …).

Malgré les avancées en termes de sécurité que représente WPA3, il existe certaines vulnérabilités connues, par exemple les attaques par dictionnaires en ligne, qui peuvent être bloqués à l’aide d’un IDS/IPS, ou bien certaines des vulnérabilités de Frag Attacks.

La version initiale de WPA3 intégrait les différentes fonctionnalités présentées dans la suite cet article, cependant la version définitive n’impose que le SAE. L’implémentation des autres fonctionnalités reste au libre choix des fabricants. Le DPP dispose lui d’une certification propre.

OWE (Opportunistic Wireless Encryption)

Jusqu’à l’apparition de WPA3 les Wi-FI publics sont habituellement configurés en mode open et n’ont donc pas de mot de passe. Les bonnes pratiques consistent à mettre en place un portail captif afin de forcer les gens à s’authentifier. Le fait que ce réseau ne soit pas protégé nous expose à deux risques majeurs : les écoutes passives ainsi que les attaques de type Man in th Middle.

Grâce à l’implémentation de OWE, nous allons pouvoir écarter la possibilité d’écoutes passives du trafic. Il décrit une méthode permettant aux clients et aux points d’accès d’établir une session chiffrée basée sur un échange de clés Diffie-Hellman. Les clés de sessions sont uniques et cela est transparent pour l’utilisateur.

DPP Device Provisionning Protocol / Easy Connect™

Le protocole DPP a été implémenter de façon à résoudre les faiblesses de sécurité du WPS (Wi-Fi Protected Access) et de faciliter le déploiement des objets IoT. Contrairement à son prédécesseur avec DPP permet d’authentifier des équipements sur le réseau sans mots de passes à l’aide de QR codes ou de tags NFC.

Cette fonctionnalité n’est pas obligatoire pour obtenir la certification WPA3 de la part de Wi-Fi Alliance, cette fonctionnalité fait partie du programme Easy Connect Wi-fi Certified.

Protected management Frames

Un des vecteurs d’attaque classique du WPA2 Personnal est la capture des échanges d’authentification qui peuvent permettre par la suite de réaliser une attaque hors ligne par dictionnaire dans le but de casser la clé PSK. Pour cela, l’attaquant peut envoyer des trames de désauthentification pour forcer le client à enclencher un nouveau processus de connexion et ainsi générer les trames souhaitées par l’attaquant.

Cette protection des trames de management n’est pas une nouveauté apportée par WPA3, cela existait dans les versions précédentes, mais cela a été encore développé.

Simultaneous Authentication of Equals (SAE)

Afin de pallier l’attaque mentionner au-dessus qui consiste à capturer le handshake puis à le casser hors ligne à l’aide d’un dictionnaire, WPA3 utilise un nouveau mécanisme de négociation des clés basé sur l’échange Dragonfly. Lors de la négociation, les clés ne sont jamais envoyées, ce qui élimine la menace qu’un attaquant capture le 4-way handshake et puisse ensuite réaliser une attaque hors ligne. Ce mécanisme d’échange de clé est déjà implémenté pour les réseaux mesh 802.11s.

Apport des courbes elliptiques

L’un des premiers changements de WPA3 par rapport à WPA2 réside dans la génération des clés. WPA3 introduit l’utilisation des courbes elliptiques lors des échanges Diffie-Hellman (ECDH) pour réduire la taille des clés et par conséquent des ressources nécessaires pour l’encryption. Par exemple, pour une encryption de type 128 bits AES la clé publique a une taille de 3072 bits avec l’utilisation de l’algorithme Modular Exponential (MODP) contre 256 bits avec l’utilisation de ECDH.

Pour aller plus loin :

WPA3, OWE and DPP | Hemant Chaskar | WLPC Phoenix 2019 | Wireless LAN Professionals