WPA2 “KRACK” 漏洞简介与重现

宣布时间 2018-01-24

1、概述

2017年10月，比利时宁静研究员Mathy Vanhoef披露了无线网络协议WPA2存在高危漏洞，漏洞允许攻击者监听AP和接入点STA之间传输的Wi-Fi数据流量。作者宣布了漏洞验证演示视频[1][2]。由于漏洞存在于WiFi协议层，理论上所有支持WPA2的客户端（桌面操作系统、移动OS、路由器、物联网设备等）都将受到“KRACK”攻击的影响（其透过WiFi传输的数据存在被改动、嗅探的风险，诸如被攻击者的支付、工业账号、用户名、密码、邮件、照片等敏感信息可被截获，危害大影响范围广）。

东森平台ADLab通过对全零密钥漏洞的分析乐成重现“KRACK”攻击。

2、协议简介

802.11i是IEEE事情组为无线网络802.11协议组界说的宁静尺度。WPA实现了IEEE 802.11i尺度的大部门，是在802.11i完备之前替代WEP的过渡方案，后被WPA2取代[3]。WPA和WPA2都是基于802.11i，区别在于WPA2要求支持更宁静的CCMP。WPA和WPA2均使用802.11i中界说的四次握手。

下图是客户端（Station, STA）连接接入点（Access Point, AP）的消息交互过程。

STA和AP在四次握手中协商会话密钥PTK（Pairwise Transient Key），PTK是由PMK和PKE计算生成，而PMK由ANonce、SNonce和双方MAC地址等计算生成。PTK分为KCK，KEK和TK三部门，其中，KCK用于MIC校验，KEK用于加密GTK，TK为数据加密密钥。四次握手完成后，传输数据使用TK进行加密。

3、漏洞原理

wpa_supplicant是linux系统下WiFi客户端，用于连接无线网络，Android WiFi系统引入了wpa_supplicant，它的整个WiFi系统是以wpa_supplicant为核心来界说上层用户接口和下层驱动接口。

下图为wpa_supplicant版本宣布时间线。Android 6.0 WiFi系统是基于v2.5，Android 6.0+ WiFi系统是基于v2.6。

v2.4版本引入了一个全零密钥漏洞。这个漏洞是由802.11尺度中的一句话引起的，该尺度间接建议在安装了TK之后从内存清除TK；2016年10月宣布的V2.6对这个漏洞进行了一次修复，由于考虑不全面，代码仍然存在漏洞；在2017年10月宣布的补丁中，最终修复了这个漏洞。下面结合代码对漏洞进行详细分析。

3.1. V2.4(2.5)

wpa_supplicant 2.4(2.5) 四次握手中的状态转移如下图所示：

（1）当连接到无线网络进行四次握手的时候，首先进入PTK_INIT状态。

（2）当接收到Msg1时，进入PTK-START阶段。wpa_supplicant会随机生成一个SNonce，计算一个临时PTK（TPTK），而且在Msg2中将SNonce发送给AP。

（3）当接收到Msg3时，如果MIC和replay counter校验乐成，进入PTK-NEGOTIATING状态。然后将TPTK赋值给PTK，并发送Msg4。

（4）接着进入PTK-DONE阶段，安装PTK和GTK，而且打开802.1x的端口，使wpa_supplicant和AP正常接收和发送数据包。

由于无线网络存在滋扰，可能会造成数据帧的丢失，因此在802.11i规定如果AP没有收到Msg2和Msg4，会相应的重传Msg1和Msg3。从图中可以看出，当完成PTK安装后，如果收到重传的Msg3，会重新安装PTK。

当wpa_supplicant收到Msg3后，会调用wpa_supplicant_install_ptk函数安装PTK，其中wpa_sm_set_key函数卖力将密钥PTK.TK安装到驱动。在supplicant v2.4(v2.5)中，在调用wpa_sm_set_key函数完成PTK的安装后，执行os_memset(sm->ptk.tk, 0, WPA_TK_MAX_LEN)，对PTK.TK进行清零操作。

如果攻击者劫持Msg3或Msg4，造成Msg3的重传，凭据状态转移图，STA会重新安装PTK，而PTK.TK之前已经被清零，导致STA安装全零加密密钥。

3.2. V2.6

下面结合V2.5和V2.6的源代码进行分析。

（1）V2.6在wpa_sm结构体中添加了一个标志位tk_to_set。

（2）V2.6修改了wpa_supplicant_install_ptk函数。在安装完PTK后，将tk_to_set赋值为0，当再次进入该函数时，如果tk_to_set==0，直接return，不再重装PTK。

（3）V2.6修改wpa_supplicant_process_1_of_4函数。当每次收到Msg1时，计算tptk，并将tk_to_set重置为1。

针对V2.6，攻击者通过在重传的Msg3之前插入一个伪造的Msg1，仍然可以实现全零密钥的安装。虽然STA首次安装PTK后对tk_to_set进行清零，但是紧接处置伪造的 Msg1时，将tk_to_set重置为1，因此在最后处置重传Msg3时，乐成绕过wpa_supplicant_install_ptk函数的tk_to_set条件判断代码。

在2017年10月宣布的补丁中，删除了wpa_supplicant_process_1_of_4函数中的sm->tk_to_set = 1;语句，修复了全零密钥漏洞。

4、漏洞重现

东森平台ADLab “KRACK”重现视频地址为：https://v.qq.com/x/page/m0538vcwqbb.html 。

视频中泛起的步骤及提示字幕：

1.本实验使用Nexus6手机作为被攻击设备。

2.首先，Nexus连接到真实AP(SSID=wap，加密方式是WPA2，信道10，频率2457)。

3.接着，运行Hostapd创建克隆AP(SSID=wap，加密方式是WPA2，信道3，频率2422)。

4.同时，启动wireshark监听克隆AP网卡，捕捉客户端数据。

5.运行攻击脚本，指定AP的SSID和Nexus的Mac地址。

6.运行ssltrip,进行Https降级。

a.wireshark显示了建立连接的数据包。

b.攻击乐成，Nexus连接到克隆wap，频率2422。

c.访问uk.match.com 显示当前连接为http连接，输入测试用户名和密码。

d.wireshark可以乐成捕捉用户名和密码。

e.关闭Hostapd（频率2422）。

f.重新连接到真实wap（频率2457），再次访问uk.match.com 显示连接为https连接。

下表中列出了重现视频中使用的设备：

5、漏洞编号及修复情况

“KRACK”涉及的相关漏洞编号：

CVE-2017-13077: 在四次握手中重装成对加密密钥（PTK-TK）

CVE-2017-13078: 在四次握手中重装组密钥（GTK）

CVE-2017-13079: 在四次握手中重装完整组密钥（IGTK）

CVE-2017-13080: 在组密钥握手中重装组密钥（GTK）

CVE-2017-13081: 在组密钥握手中重装完整组密钥（IGTK）

CVE-2017-13082: 接受重新传输的快速BSS切换（FT）重新关联请求，重装成对加密密钥（PTK-TK）

CVE-2017-13084: 在PeerKey握手中重装STK密钥

CVE-2017-13086: 在TDLS（Tunneled Direct-Link Setup）握手中重装TDLS PeerKey（TPK）

CVE-2017-13087: 处置无线网络管理（WNM）休眠模式响应帧时重装组密钥（GTK）

CVE-2017-13088: 处置无线网络管理（WNM）休眠响应帧时重装完整组密钥（IGTK）

修复情况：

2017年10月2日，Linux的hostapd和wpa_supplicant 补丁已宣布，详见 https://w1.fi/security/2017-1/。

2017年10月10日，微软在Windows 10 操作系统中宣布补丁 KB4041676。

苹果在最新的 beta 版本iOS、macOS、 tvOS和 watchOS中修复了无线网络宁静漏洞。

6、参考链接

[1]https://www.krackattacks.com/

[2]https://papers.mathyvanhoef.com/ccs2017.pdf

[3]https://zh.wikipedia.org/wiki/WPA

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

WPA2 “KRACK” 漏洞简介与重现

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线