首页 > 宁静研究 > 研究陈诉 > 宁静漏洞分析

Wi-Fi WPA2 “Kr00k”漏洞分析与复现

宣布时间 2020-03-26

1.研究配景

在今年2月份的RSA大会上，ESET的研究人员果然披露Wi-Fi芯片存在严重宁静漏洞CVE-2019-15126，并将其命名为“Kr00k”。攻击者可以利用“Kr00k”解密无线网络流量，获取传输过程中的敏感数据。

Kr00k漏洞影响部门安装Broadcom和Cypress Wi-Fi芯片的设备，这两家芯片产物被广泛应用于手机、平板电脑及IOT设备中。守旧预计，全球总计凌驾10亿的设备受该漏洞的影响。

2.漏洞分析

2.1 漏洞原理

在介绍Kr00k漏洞之前，先简单了解下WPA2协议。目前基于AES-CCMP的WPA2协议是Wi-Fi网络中最普遍的尺度。下图是客户端（Station, STA）连接接入点（Access Point, AP）的消息交互过程。

东森·(中国区)官方网站

STA和AP在四次握手中，协商会话密钥PTK（Pairwise Transient Key），PTK是由PMK和PKE计算生成，而PMK由ANonce、SNonce和双方MAC地址等计算生成。PTK分为KCK、KEK和TK三部门，其中，KCK用于MIC校验，KEK用于加密GTK，TK为数据加密密钥。四次握手完成后，传输数据使用TK进行加密。

东森·(中国区)官方网站

在WPA2协议中，解除关联操作可以由未经身份验证和未加密的管理帧触发，Kr00k漏洞与解除关联操作密切相关。在下图所示中，当站点的连接会话解除关联后，生存在Wi-Fi芯片中的会话密钥(TK)被置零，如果使用已置零的TK密钥对芯片缓存中的数据进行加密并传输，将导致漏洞发生。

东森·(中国区)官方网站

攻击者利用无线网卡即可完成入侵，通过不停触发解除关联、重新关联，然后使用全零TK对捕捉的数据帧进行解密，从而获取敏感信息。

2.2 固件分析

本文选取Nexus5中的BCM4339芯片固件进行分析。首先，定位固件中计算ptk的位置，如下图所示。

东森·(中国区)官方网站

然后，对其上层函数wlc_wpa_sup_eapol进行分析。

东森·(中国区)官方网站

wlc_wpa_sup_eapol调用wpa_pmk_to_ptk时，传入的参数分别为mac1、mac2、Nonce1、Nonce2、pmk、pmk_len、ptk、ptk_len。ptk计算结果被生存在wpa_ptk结构体偏移0x8c位置中。

wlc_sup_attach函数用于处置STA的初始化连接，该函数对wpa_ptk结构体进行内存分配和初始化，wpa_ptk结构体巨细为0x13C。

东森·(中国区)官方网站

当初始化失败、连接超时或解除连接的时候，则会调用wlc_sup_detach函数对wpa_ptk结构体进行置零操作。

东森·(中国区)官方网站

3.漏洞验证

3.1 测试环境

	设备名称	数量
受影响的设备	Nexus5	1
受影响的设备	iphone6s手机	1
Attacker	NETGEAR网卡	2

3.2 测试步骤

（1）对wireshark解密数据包的相关功效进行patch，使其能够乐成解密全零TK加密的数据。

（2）使用patch后的wireshark监听目标设备和AP通信的数据包。

（3）使用目标设备连接AP并任意访问网页。

（4）对AP和测试目标发送Disassocation包。

（5）重复执行步骤（3）和（4），视察wireshark中数据包是否解密。

3.3 测试结果

Nexus 5：

东森·(中国区)官方网站

iphone 6s：

可以看出，Nexus 5和iphone 6s部门数据被乐成解密。

4.影响范围

目前已知受影响的设备有：

Amazon Echo 2nd gen

Amazon Kindle 8th gen

Apple iPad mini 2

Apple iPhone 6, 6S, 8, XR

Apple MacBook Air Retina 13-inch 2018

Google Nexus 5

Google Nexus 6

Google Nexus 6P

Raspberry Pi 3

Samsung Galaxy S4 GT-I9505

Samsung Galaxy S8

Xiaomi Redmi 3S

Asus RT-N12

Huawei B612S-25d

Huawei EchoLife HG8245H

Huawei E5577Cs-321

5.宁静建议

设备制造商已宣布的宁静建议如下：

?https://support.apple.com/en-us/HT210721

?https://support.apple.com/en-us/HT210722

?https://support.apple.com/en-us/HT210788

?https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2020-003.txt

?https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200226-wi-fi-info-disclosure

?https://www.huawei.com/en/psirt/security-notices/huawei-sn-20200228-01-kr00k-en

?https://www.microchip.com/design-centers/wireless-connectivity/embedded-wi-fi/kr00k-vulnerability

?https://www.mist.com/documentation/mist-security-advisory-kr00k-attack-faq/

?https://www.zebra.com/us/en/support-downloads/lifeguard-security/kr00k-vulnerability.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

Wi-Fi WPA2 “Kr00k”漏洞分析与复现

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线