R00KIE-KR00KIE. Изучаем атаку KR00K на WiFi.

В феврале 2020 года ИБ-специалисты рассказали на конференции RSA 2020 о новой уязвимости Kr00k (CVE-2019-15126), которая может использоваться для перехвата и дешифровки трафика Wi-Fi (WPA2). По данным аналитиков, данной проблеме подвержены любые устройства, использующие решения компаний Cypress Semiconductor и Broadcom, от ноутбуков и смартфонов, до роутеров и IoT-девайсов.

Введение.

Данная уязвимость работает следующим образом:

  • Жертва подключается к точке доступа WiFi.
  • Противник отправляет клиенту запросы на разъединение и тем самым отключает жертву от точки доступа.
  • Контроллеры беспроводного сетевого интерфейса (WNIC) WiFi чип клиента очищает сеансовый ключ (Temporal Key), используемый для расшифровки трафика.
  • Однако пакеты данных, которые все еще могут оставаться в буфере чипа WiFi после разъединения, будут зашифрованы с помощью ключа шифрования all-zero и отправлены.
  • Противник перехватывает все пакеты, отправленные жертвой после разъединения, и пытается расшифровать их, используя известное значение ключа (которое, как мы помним, установлено в ноль).

Итак, поскольку у нас есть Raspberry Pi 3 под рукой, давайте выясним действительно ли работает Kr00k. Конечно же, исследователи ESET или некоторые члены сообщества уже опубликовали PoC, не так ли?

Google не нашел ничего, кроме кучи FUDs и пустого репозитория GitHub.

Результат.

kr00k атака довольно проста. Так что, это не заняло много времени для нас, чтобы написать наш PoC.

Чтобы проверить, является ли устройство уязвимым, достаточно запустить r00kie-kr00kie.py скрипт указав bssidномером канала и mac-адресом жертвы.

->~:python3 r00kie-kr00kie.py -i wlan0 -b D4:38:9C:82:23:7A -c 88:C9:D0:FB:88:D1 -l 11

Итог.

После тестирования этого PoC на разных устройствах мы обнаружили, что данные клиентов, которые генерировали большое количество UDP-трафика, было проще всего перехватить. Среди этих клиентов, например, есть различные потоковые приложения, потому что этот вид трафика (в отличие от небольших пакетов TCP) всегда будет храниться в буфере чипа WiFi.

Мы создали и опубликовали эксплойт PoC r00k атаки ( CVE-2019-15126): https://github.com/hexway/r00kie-kr00kie .

Перевод статьи https://hexway.io/research/r00kie-kr00kie
Технические детали можете посмотреть на https://hexway.io/research/r00kie-kr00kie/#process

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.