研究者揭示早期Wi-Fi标准设计中存在的一系列“碎片攻击”漏洞

  一位比利时安全研究人员,刚刚发现了一系列印象 Wi-Fi 标准的漏洞,其中一些甚至可以追溯到 1997 年,意味着过去 24 年内销售的设备都会受到影响。据悉,此类“碎片攻击”(Frag Attacks)使得 Wi-Fi 信号覆盖范围内的攻击者能够收集用户的信息,并运行恶意代码来破坏设备(比如联网的计算机、手机或其它智能设备)。

创新互联建站长期为成百上千客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为新巴尔虎左企业提供专业的网站设计、网站制作,新巴尔虎左网站改版等技术服务。拥有十年丰富建站经验和众多成功案例,为您定制开发。

糟糕的是,由于缺陷存在于 Wi-Fi 标准本身,即使激活了 WEP 或 WPA 等标准安全协议,设备仍然很容易受到攻击。

发现 Frag Attacks 的比利时学术与安全研究人员 Mathy Vanhoef 表示:“有三个漏洞源于 Wi-Fi 标准的设计缺陷,因而会影响大多数设备,其余漏洞则是由 W-Fi 产品标准实施中广泛存在的编程错误引起的”。

实验表明,每款 Wi-Fi 产品都至少受到一个漏洞的影响,且大多数产品都受到多个漏洞的影响。至于更多细节,Mathy Vanhoef 打算在今年 8 月下旬举办的 USENIX 安全会议上作深入探讨。

此前,这位研究人员披露过 KRACK 和 Dragonblood 攻击,为 Wi-Fi 标准的安全改进做出了实质性的贡献。

然而近日披露的 Frag Attacks 碎片攻击,却面临着更加尴尬的局面。因为新发现的漏洞位于 Wi-Fi 协议的较早部分,现实世界中已持续部署了 20 年,行业惯性导致修补措施很难溯及过往。

Mathy Vanhoef 说到:“这些漏洞的发现让人很是惊讶,因为在过去的几年时间里,Wi-Fi 的安全性其实已经得到了极大的改善”。

与此前披露的两个漏洞一样,Mathy Vanhoef 已经及时地向 Wi-Fi 联盟报告了他的相关发现(PDF)。过去九个月时间里,该组织一直在努力纠正其标准和准则,并与设备制造商携手发布固件升级补丁。

有顾虑的朋友,可查阅自家设备的固件变更日志中是否包含如下 CVE 标识符,以确认是否受到 12 种碎片攻击中的一种多多重影响。首先是 Wi-Fi 标准设计方面的三个缺陷:

● CVE-2020-24588:聚合攻击 -- 接受非 SPP 的 A-MSDU 帧。

● CVE-2020-24587:混合密钥攻击 -- 重组使用不同密钥加密的片段。

● CVE-2020-24586:碎片缓存攻击 --(重新)连接到网络时,不从内存中清除碎片。

FragAttacks Demonstration of Flaws in WPA23(via)

其次是 Wi-Fi 标准实施方面的四个缺陷:

● CVE-2020-26145:(在加密网络中)接受纯文本广播片段作为完整帧。

● CVE-2020-26144:(在加密网络中)接受 EtherType EAPOL / RFC1042 为标头的纯文本 A-MSDU 帧。

● CVE-2020-26140:(在受保护的网络中)接受纯文本数据帧。

● CVE-2020-26143:(在受保护的网络中)接受碎片化的纯文本数据帧。

最后是其它五项 Wi-Fi 标准实施缺陷:

● CVE-2020-26139:即使发信人尚未通过身份验证,依然转发 EAPOL 帧(或仅影响 AP 部署)。

● CVE-2020-26146:重组具有非连续数据包编号的加密片段。

● CVE-2020-26147:重组混合加密 / 纯文本片段。

● CVE-2020-26142:将碎片帧作为完整帧进行处理。

● CVE-2020-26141:不验证碎片帧的 TKIP MIC 。

如果不清楚设备网络是否已经打上了补丁,亦可参考 Mathy Vanhoef 列出的一系列缓解措施,以保护用户免受碎片攻击。不过最简单的防御措施,还是尽量启用网站的安全超文本传输协议(即 HTTPs)。

最后,微软已在 2021 年 5 月的星期二补丁(Patch Tuesday)中通报了 Frag Attacks,目前这家软件巨头已经修复了 12 个影响 Windows 操作系统的相关漏洞的其中 3 个。

文章名称:研究者揭示早期Wi-Fi标准设计中存在的一系列“碎片攻击”漏洞
文章源于:http://www.shufengxianlan.com/qtweb/news33/501833.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联