原来的
一、背景
近日,纽约大学阿布扎比分校安全研究员Mathy发现了一系列影响巨大的Wi-Fi漏洞,统称为计算机、智能手机、校园网络、家庭路由器、智能家居设备、智能汽车、物联网等。 )。
其中影响大多数 WiFi 设备的三个漏洞是 Wi-Fi 802.11 标准的帧聚合和帧碎片功能的设计缺陷,而其他漏洞是 Wi-Fi 产品中的编程错误。
只要黑客处于目标设备的 Wi-Fi 范围内阿布扎比大学,他或她就可以利用漏洞窃取敏感用户数据并执行恶意代码,甚至接管整个设备。
启明星辰ADLab立即对该漏洞进行分析并提出相应的缓解建议。 由于WiFi产品的协议栈,包含了Soft Mac和Full Mac的多种实现方案。 该系列漏洞不仅影响操作系统内核和WiFi驱动,还影响WiFi SOC芯片,因此该漏洞的影响长期存在。 请及时关注并更新设备厂商的安全更新。
补救和缓解建议
漏洞和具体影响列表
与 Wi-Fi 设计缺陷相关的漏洞包括:
CVE编号 漏洞介绍 漏洞影响
CVE-2020-24588
针对A-MSDU聚合的注入攻击(无效的SPP A-MSDU保护机制)
攻击者可以插入恶意帧并篡改数据包
CVE-2020-24587
混合密钥攻击(重新组织使用不同密钥加密的分片)
窃取用户敏感数据
CVE-2020-24586
分片缓存攻击(重新连接网络时分片缓存未清除)
窃取敏感用户数据或篡改任意数据包
与 Wi-Fi 实施相关的漏洞包括:
CVE编号 漏洞介绍 漏洞影响
CVE-2020-26145
在加密通信中,未加密的广播片段仍被视为完整帧
与网络配置无关,插入任意帧来篡改数据包
CVE-2020-26144
在加密通信中,未加密的A-MSDU帧仍然被接受
CVE-2020-26140
在受保护的网络中接受未加密的数据帧
CVE-2020-26143
在受保护的网络中接受分段的未加密数据帧
CVE-2020-26139
转发 EAPOL 帧时不验证发送者的身份
结合CVE-2020-24588,任何攻击者都可以插入恶意帧并篡改数据包。
CVE-2020-26146
数据包编号不连续的加密片段仍会被重组。
窃取敏感用户数据
CVE-2020-26147
分片的重组不区分加密和未加密的分片
攻击者可以插入恶意帧并篡改数据包
CVE-2020-26142
将碎片帧处理为完整帧
CVE-2020-26141
不验证分段帧的 TKIP MIC
通过这一系列漏洞,攻击者可以完全获取用户的敏感信息或直接控制智能设备,例如控制智能电源插座,甚至直接接管网络中存在漏洞的计算机阿布扎比大学,见下文参考文献[2]。
2. 漏洞分析
我们选择了所有设备中常见的三个设计漏洞CVE-2020-24586、CVE-2020-24587和CVE-2020-24588进行分析。 由于CVE-2020-24588漏洞影响较大,因此我们重点介绍CVE-2020-24588。
1. 技术背景
由于802.11 MAC层协议消耗了大量的链路维护开销,为了提高MAC层的效率,802.11n引入了帧聚合技术。 消息帧聚合技术包括:A-MSDU(MAC Data Unit )和A-MSDU。 -MPDU(MAC 协议数据单元聚合)。
A-MSDU 允许聚合具有相同目的地和应用的多个 A-MSDU 子帧。 聚合子帧仅具有一个公共 MAC 帧头。 当多个子帧聚合在一起时,减少了发送每个802.11消息所需的PLCP、PLCP和802.11 MAC头的开销,并减少了响应帧的数量,从而提高了无线传输效率。 A-MSDU消息帧聚合技术是802.11n协议的强制要求,所有支持802.11n协议的设备都必须支持它。
下图说明了802.11协议栈中发送方和接收方如何处理A-MSDU数据。
图1. 802.11协议数据处理流程
在802.11协议栈中,发送方通过数据链路层的LLC子层为来自3-7层的网络数据添加LLC/SNAP头,并封装成MSDU(MAC Data Unit)。 MSDU添加DA、SA、长度后,封装成A-MSDU子帧。 多个A-MSDU子帧被封装在MAC子层顶层的A-MSDU中。 帧数据经过MAC子层后,添加MAC头和帧尾封装成802.11数据帧(MPDU),MPDU/PSDU通过物理层添加PLCP(PLCP前导码)和PLCP(PHY头),无线侧最终通过射频端口将二进制流发送至接收端。
接收端通过反向路径对802.11数据帧进行拆解,最终得到发送端的3-7层网络数据。
A-MSDU的协议数据组成如图2所示,我们从上到下进行解释:
(1)MSDU由LCC/SNAP头、IP头、TCP/UDP头和协议数据Data组成。
(2)MSDU加上DA(目的地址)、SA(源地址)、后续数据长度和(四字节对齐)形成MSDU子帧。
(3)多个MSDU子帧构成802.11帧的A-MSDU域。
(4)802.11数据帧使用QOS的A-MSDU比特来指示这是一个包含A-MSDU字段的数据帧。
图2. A-MSDU数据组成图
在802.11协议中,普通802.11数据帧的结构与A-MSDU数据帧相同,只是QOS字段中的A-MSDU位为1,表示该数据帧是A-MSDU。 MSDU 数据帧。 A-MSDU位为0,表明这是一个正常的802.11数据帧。
在802.11协议中,WEP和CCMP仅保护802.11MAC的净荷。 至于802.11帧头和下层协议头则保持不变。 也就是说,802.11协议中数据帧中的QOS是不加密的,这就为攻击者提供了攻击的入口。
图 3. CCMP 加密的 802.11 数据帧格式
为了防止中间人攻击,IEEE于2011年设计了SPPA-MSDU机制来保护A-MSDU位和A-MSDU。 SPP A-MSDU通过在RSN域中添加SPPA-MSDU和SPPA-MSDU来指示是否支持SPPA-MSDU机制以及是否采用SPPA-MSDU机制。
图 4. RSN 域数据格式
2. 针对 A-MSDU 聚合的帧注入攻击 (CVE-2020-24588)
虽然有SPP A-MSDU机制来保护A-MSDU位不被篡改,但在实际测试中,几乎所有设备都没有遵循SPP A-MSDU机制,这使得中间人攻击成为可能。
我们假设发送方发送的是一个普通的802.11数据帧,里面封装的是一个普通的TCP数据包,dst=“192.168.1.2”,src=“1.2.3.4”,id=34
图 5. 原始 802.11 数据帧
由于偏移量为0x18的QOS(0200)不受保护,攻击者可以将QOS字段中的A-MSDU翻转为1,使得QOS值为8200,同时在末尾注入恶意的A-MSDU子帧2帧(如下图)(图中红线标注),最后发送到接收端。
图 6. 被篡改的 802.11A-MSDU 数据帧
由于QOS域中的A-MSDU翻转为1,所以接收端接收到数据帧时,会按照A-MSDU格式拆解里面的数据。 数据被识别为两个A-MSDU子帧。 A-MSDU子帧1中的数据是原始的MSDU数据,因此会被协议栈丢弃,但第二子帧会被正确解析和处理。 在上面的例子中,第二个子帧将被识别为ICMP ping数据包,并且接收端将向发送端回复ICMP echo Reply。
下图说明了中间人帧注入过程:
图 7. 中间人帧注入过程
(1)STA(终端)与AP(热点/无线路由器)通道A(如通道6),建立关联
(2)MITM采用多通道中间人技术,使STA认为AP已经切换到通道B(如通道11)。
(3) STA在通道11上向MITM发送加密的Wifi普通数据帧。
(4)MITM将接收到的Wifi帧的QOS字段的A-MSDU标志设置为1,并插入被篡改的A-MSDU数据。 将普通Wifi帧更改为A-MSDU帧,注入ICMP请求数据包,并通过通道6发送到AP。
(5)AP接收A-MSDU数据帧。 AP将A-MSDU拆解并分成多个A-MSDU子帧。 第一个 A-MSDU 子帧是非法数据包,将被丢弃,但后续的 MSDU 子帧 帧将被系统正常处理。 AP 将使用收到的 ICMP Echo 响应来回复 MITM。
(6) MITM收到AP的回复后,将收到的WIFI帧转发给STA,以便STA收到AP的ICMP回复。
修复 CVE-2020-24588
今年3月发布了相应补丁,修复了一系列漏洞。 5月11日,Linux还发布了一系列漏洞补丁[6]。 Linux 针对 CVE-2020-24588 的修复如下:
--- net //util.c | 3 +++ 1 个文件,3 (+) diff --git a/net//util.cb/net//util. .. --- a/net//util .c+++ b/net//util.c@@ -771,6 +771,9 @@ void 023s( *skb, *list, = skb->len - ; if ( > ) 转到清除;+/* A- MSDU */+if ((eth., ))+转到清除; 最后 =