凯发k8

首页 > 清静研究 > 研究报告 > 清静误差剖析

FragAttacks误差剖析

宣布时间 2021-05-18

配景

克日，，，，，，，纽约大学阿布扎比分校的清静研究员Mathy Vanhoef发明了一系列影响重大的Wi-Fi误差，，，，，，，这一系列误差被统称为FragAttacks，，，，，，，FragAttacks影响了1997年Wi-Fi手艺降生以来的所有Wi-Fi装备（包括盘算机、智能手机、园区网络、家庭路由器、智能家居装备、智能汽车、物联网等等）。。。。。。。。

其中三个误差影响大大都WiFi装备，，，，，，，属于Wi-Fi 802.11标准帧聚合和帧分片功效中的设计缺陷，，，，，，，而其他误差是Wi-Fi产品中的编程过失。。。。。。。。

黑客只要在目的装备的Wi-Fi规模内，，，，，，，就能使用FragAttacks误差窃取敏感用户数据并执行恶意代码，，，，，，，甚至可以接受整个装备。。。。。。。。

凯发k8ADLab第一时间对误差举行了剖析，，，，，，，并提出了响应的缓解建议。。。。。。。。由于WiFi产品的协议栈，，，，，，，包括了Soft Mac及Full Mac多种实现计划。。。。。。。。FragAttacks系列误差不但保存影响操作系统内核、WiFi驱动，，，，，，，还影响WiFi的SOC芯片，，，，，，，以是误差的影响恒久保存。。。。。。。。请实时关注并更新装备供应商的清静更新。。。。。。。。

修复及缓解建议

● 实时更新装备供应商宣布的FragAttacks误差清静更新。。。。。。。。

● 确保您会见的所有网站和在线效劳都启用了清静超文本传输协议HTTPS(好比装置HTTPS Everywhere插件)。。。。。。。。

● 例如在Wi-Fi 6（802.11ax）装备中禁用分片，，，，，，，禁用成对重新天生密钥以及禁用动态分片。。。。。。。。

误差列表及详细影响

Wi-Fi设计缺陷相关的误差包括：

CVE编号	误差先容	误差影响
CVE-2020-24588	针对A-MSDU聚合的注入攻击（无效的SPP A-MSDU保唬�；；；せ疲�	攻击者可插入恶意帧，，，，，，，改动数据包
CVE-2020-24587	混淆密钥攻击（重组时使用差别密钥加密的分片	密取用户的敏感数据
CVE-2020-24586	分片缓存攻击（重新毗连到网络时不扫除分片缓存）	窃取用户敏感数据或改动恣意数据包

Wi-Fi实现相关的误差包括：

CVE编号	误差先容	误差影响
CVE-2020-26145	在加密通讯中，，，，，，，仍接受未加密广播分片作为完整帧	自力于网络设置，，，，，，，插入恣意帧，，，，，，，从而改动数据包
CVE-2020-26144	在加密通讯中，，，，，，，仍接受未加密的A-MSDU帧
CVE-2020-26140	在受保唬�；；；さ耐缰薪邮芪醇用苁葜�
CVE-2020-26143	在受保唬�；；；さ耐缰薪邮芊制奈醇用苁葜�
CVE-2020-26139	转发EAPOL帧时未验证发送端的身份	和CVE-2020-24588连系起来，，，，，，，插入任攻击者可插入恶意帧，，，，，，，改动数据包
CVE-2020-26146	关于非一连数据包编号的加密分片依然举行重新组合	窃取用户敏感数据
CVE-2020-26147	对分片举行重新组适时不区分加密或未加密	攻击者可插入恶意帧，，，，，，，改动数据包
CVE-2020-26142	将分片帧作为完整帧举行处置惩罚
CVE-2020-26141	不验证分片帧的TKIP MIC

通过这一系列误差，，，，，，，攻击者完全可以获得用户的敏感信息或直接控制智能装备，，，，，，，如控制智能电源插座，，，，，，，甚至直接接受网络中保存误差的盘算机，，，，，，，拜见下文参考资料[2]。。。。。。。。

误差剖析

我们选取了在所有装备普遍保存的CVE-2020-24586、CVE-2020-24587、CVE-2020-24588三个设计误差举行剖析。。。。。。。。由于CVE-2020-24588的误差影响较大，，，，，，，我们着重举行先容CVE-2020-24588。。。。。。。。

1、手艺配景

由于802.11MAC层协议泯灭了相当多开销用作链路的维护，，，，，，，为了提高MAC层的效率，，，，，，，802.11n引入帧聚合手艺，，，，，，，报文帧聚合手艺包括：A-MSDU(MAC效劳数据单位聚合) 及 A-MPDU(MAC协议数据单位聚合)。。。。。。。。

A-MSDU允许对目的地及应用都相同的多个A-MSDU子帧举行聚合，，，，，，，聚合后的多个子帧只有一个配合的MAC帧头，，，，，，，当多个子帧聚合到一起后，，，，，，，从而镌汰了发送每一个802.11报文所需的PLCP Preamble、PLCP Header和802.11MAC头的开销，，，，，，，同时镌汰了应答帧的数目，，，，，，，从而提高无线传输效率。。。。。。。。A-MSDU报文帧聚合手艺是802.11n协议的强制要求，，，，，，，所有支持802.11n协议的装备都必需支持。。。。。。。。

下图示意了在802.11协议栈中，，，，，，，发送端和吸收端是如那里置A-MSDU数据的。。。。。。。。

图1. 802.11协议数据处置惩罚流程

在802.11协议栈中，，，，，，，发送端未来自3-7层的网络数据经由数据链路层的LLC子层添加LLC/SNAP头后封装成MSDU(MAC效劳数据单位），，，，，，，MSDU经由添加DA、SA、长度及pading后，，，，，，，封装成A-MSDU子帧，，，，，，，在MAC子层的顶层将多个A-MSDU子帧封装成A-MSDU，，，，，，，经MAC子层后，，，，，，，帧数据被添加上MAC头及帧尾封装成802.11数据�。。。。。。。。∕PDU），，，，，，，MPDU/PSDU经由物理层添加PLCP Preamble（PLCP前导码）及PLCP Header（PHY头），，，，，，，无线侧最后通过射频口将二进制流发送到吸收端。。。。。。。。

吸收端通过相反路径对802.11数据帧举行拆解，，，，，，，最后获得发送端的3-7层的网络数据。。。。。。。。

A-MSDU的协议数据组成如图2所示，，，，，，，我们从上到下举行划辩白明：

（1）一个MSDU由LCC/SNAP头、IP头、TCP/UDP头及协议数据Data组成。。。。。。。。

（2）MSDU添加DA(目的地点)，，，，，，，SA(源地点)，，，，，，，后续数据长度及Padding(四字节对齐)组成一个MSDU子帧。。。。。。。。

（3）多个MSDU子帧组成一个802.11帧的A-MSDU域。。。。。。。。

（4）802.11数据帧通过QOS Control的A-MSDU Present位来体现这是一个包括A-MSDU域的数据帧。。。。。。。。

图2. A-MSDU数据组成示意

在802.11协议中，，，，，，，一个通俗的802.11数据帧与A-MSDU数据帧的结构是相同的，，，，，，，只是QOS Control域的A-MSDU Preset位为1，，，，，，，则标示了该数据帧是一个A-MSDU数据帧。。。。。。。。A-MSDU Preset位为0，，，，，，，则标示这是通俗802.11数据帧。。。。。。。。

在802.11协议中WEP及CCMP只保唬�；；；�802.11MAC的有用载荷，，，，，，，至于802.11帧头以及下层协议的标头则原封不动，，，，，，，也就是说802.11协议中数据帧中QOS Control并没有加密，，，，，，，这为攻击者提供了攻击入口。。。。。。。。

图3. CCMP加密的802.11数据帧名堂

为避免中心人攻击，，，，，，，IEEE在2011年设计了SPPA-MSDU机制来保唬�；；；-MSDU Preset位及A-MSDU的Payload。。。。。。。。SPP A-MSDU通过在RSN capabilities 域中添加SPP A-MSDU Capable及SPP A-MSDU Required来标示是否支持SPP A-MSDU机制及是否接纳SPP A-MSDU机制。。。。。。。。

图4. RSN Capabilities 域数据名堂

2、针对A-MSDU聚合的帧注入攻击(CVE-2020-24588)

虽然有SPP A-MSDU机制来保唬�；；；-MSDU Preset位不被改动，，，，，，，可是在现实的测试中，，，，，，，险些所有的装备都不遵照SPP A-MSDU机制，，，，，，，这使得中心人攻击成为可能。。。。。。。。

我们假设发送端发送了一个正常的802.11数据帧，，，，，，，这是一个内里封装的是一个通俗TCP包，，，，，，，其dst=“192.168.1.2", src="1.2.3.4", id=34

图5. 原始的802.11数据帧

由于偏移0x18的QOS Control(0200）不受保唬�；；；�，，，，，，，攻击者可以将 QOS Control域中的A-MSDU Preset翻转为1，，，，，，，使得QOS Control的值为8200，，，，，，，同时在帧末尾注入恶意的A-MSDU子帧2（如下图的红色线标示），，，，，，，最后发送给吸收端。。。。。。。。

图6. 改动后的802.11A-MSDU数据帧

由于QOS Control域中的A-MSDU Preset翻转为1，，，，，，，当吸收端吸收到数据帧后，，，，，，，会按A-MSDU名堂来拆解内里的数据。。。。。。。。数据被识别成两个A-MSDU子帧。。。。。。。。A-MSDU子帧1中的数据是原始的MSDU数据，，，，，，，以是会被协议栈扬弃，，，，，，，但第二个子帧会被准确剖析并处置惩罚。。。。。。。。这上面的例子中第二个子帧会被识别成ICMP ping包，，，，，，，吸收端会回复一个ICMP echo Reply给发送端。。。。。。。。

视频1. 发送端收到ICMP echo Reply

下图示意了中心人帧注入流程：

图7. 中心人帧注入流程

（1）STA（终端）和AP（热门/无线路由器）信道A（如信道6）, 建设关联

（2）MITM使用多信道中心人手艺使得STA以为AP已经切换到信道B（如信道11）。。。。。。。。

（3）STA在信道11给 MITM发送加密的Wifi正常数据帧。。。。。。。。

（4）MITM将吸收到的Wifi帧QOS域的A-MSDU Preset标示设为1，，，，，，，同时插入改动的A-MSDU数据。。。。。。。。把一个正常的Wifi帧改成一个A-MSDU帧，，，，，，，并注入一个ICMP请求包，，，，，，，并在通道6发给AP。。。。。。。。

（5）AP吸收到A-MSDU数据帧，，，，，，，AP拆解A-MSDU，，，，，，，分成多个A-MSDU子帧，，，，，，，其中第一个A-MSDU子帧为不法包，，，，，，，会被扬弃，，，，，，，但后续的MSDU子帧会被系统正常处置惩罚。。。。。。。。AP会回复收到一个ICMP Echo 应答给MITM。。。。。。。。

（6）MITM收到AP的回复后，，，，，，，将吸收到的WIFI帧转发给STA，，，，，，，这样STA收到AP回复的ICMP应答。。。。。。。。

CVE-2020-24588的修复

今年3月Windows宣布了响应的补丁，，，，，，，修复了FragAttacks系列误差，，，，，，，5月11日Linux也宣布了FragAttacks系列误差补丁[6]，，，，，，，Linux针对CVE-2020-24588的修复如下：

---

net/wireless/util.c | 3 +++

1 file changed, 3 insertions(+)

diff --git a/net/wireless/util.c b/net/wireless/util.c

index 39966a873e40..7ec021a610ae 100644

--- a/net/wireless/util.c

+++ b/net/wireless/util.c

@@ -771,6 +771,9 @@ void ieee80211_amsdu_to_8023s(struct sk_buff *skb, struct sk_buff_head *list,

remaining = skb->len - offset;

if (subframe_len > remaining)

goto purge;

+/* mitigate A-MSDU aggregation injection attacks */

+if (ether_addr_equal(eth.h_dest, rfc1042_header))

+goto purge;

offset += sizeof(struct ethhdr);

last = remaining <= subframe_len + padding;

--

由于在A-MSDU聚合注入攻击中，，，，，，，需要将通俗加密Wi-Fi帧转换为A-MSDU帧。。。。。。。。这意味着第一个A-MSDU子帧的前6字节对应于RFC1042的帧头，，，，，，，liunx内核通过增添判断DA（目的地点）是否和rfc1042_header(\xaa\xaa\x03\x00\x00\x00)一致，，，，，，，若是相等则以为是恶意攻击，，，，，，，可以把这个A-MSDU帧扬弃。。。。。。。。

混淆密钥攻击(CVE-2020-24587)

图8.混淆密钥攻击流程

在办法1当中，，，，，，，攻击者诱导受害者会见受攻击者控制的效劳器，，，，，，，通过一些手段，，，，，，，好比指定一个超长的URL，，，，，，，从而使受害者发送的数据包不得不分成两段举行传输，，，，，，，分片的数据包用秘钥k加密，，，，，，，这两个数据包为和。。。。。。。。而攻击者通过多信道的中心人举行阻挡，，，，，，，一旦监测到攻击者指定IP数据包，，，，，，，便将此数据包转发给AP，，，，，，，即AP一旦收到此数据包后，，，，，，，就将其解密后保存内存当中。。。。。。。。

在办法2举行之前，，，，，，，受害者需要与AP重新举行四次握手并协商新的密钥。。。。。。。。之后攻击者期待受害者发送包括敏感信息的数据包，，，，，，，即和。。。。。。。。攻击者将数据包号码为n+1的数据包阻挡，，，，，，，并将其序列号修改为s，，，，，，，然后转发给AP，，，，，，，即数据包。。。。。。。。而AP直接把他看成序列号s数据包的第二个分片信息，，，，，，，将他解密后重组成新的数据包，，，，，，，而新的数据包中包括受害者的敏感信息与攻击者指定的IP。。。。。。。。于是敏感信息就被发送到受害者控制的效劳器上，，，，，，，造成信息泄露。。。。。。。。

分片缓存投毒攻击(CVE-2020-24586)

图9.分片缓存投毒攻击流程

在办法1中，，，，，，，攻击者嗅探到受害者的MAC地点后，，，，，，，伪造受害者MAC地点去毗连AP。。。。。。。。这样就可以正当的用受害者的身份在AP的内存中插入分片。。。。。。。。

在办法2中，，，，，，，受害者举行正常的认证事情，，，，，，，此时攻击者发送数据包，，，，，，，这个数据包中包括攻击者指定的IP数据包。。。。。。。。然后AP解密此数据包，，，，，，，并生涯在内存中，，，，，，，以受害者的MAC地点作为标识。。。。。。。。然后攻击者通过发送扫除认证的数据包并断开毗连，，，，，，，随后在受害者和AP之间建设一个多信道的中心人。。。。。。。。注重此时AP内存中的分片并没有被扫除。。。。。。。。

之后受害者与AP之间举行正常的毗连。。。。。。。。此时攻击者只需要期待受害者发送第二个分片，，，，，，，数据包号码为n+1，，，，，，，攻击者将此数据包阻挡后，，，，，，，并将此数据包的序列号修改为s，，，，，，，然后其转发给AP，，，，，，，即数据包，，，，，，，一旦AP收到此数据包，，，，，，，和混淆密钥误差类似，，，，，，，AP会将此数据包解密，，，，，，，并和之宿世保存缓存中的数据包重组成新的数据包，，，，，，，由于这两个数据包包括相同的MAC地点和序列号。。。。。。。。最后，，，，，，，AP将重组后的数据包发送给攻击者控制的效劳器，，，，，，，从而造成敏感信息泄露。。。。。。。。

参考链接：

【1】https://papers.mathyvanhoef.com/usenix2021.pdf

【2】https://www.youtube.com/embed/88YZ4061tYw

【3】https://www.fragattacks.com/#notpatched

【4】https://github.com/vanhoefm/fragattacks

【5】https://lore.kernel.org/linux-wireless/20210511180259.159598-1-johannes@sipsolutions.net/

凯发k8起劲防御实验室（ADLab）

ADLab建设于1999年，，，，，，，是中国清静行业最早建设的攻防手艺研究实验室之一，，，，，，，微软MAPP妄想焦点成员，，，，，，，“黑雀攻击”看法首推者。。。。。。。。阻止现在，，，，，，，ADLab已通过CVE累计宣布清静误差近1100个，，，，，，，通过 CNVD/CNNVD累计宣布清静误差1000余个，，，，，，，一连坚持国际网络清静领域一流水准。。。。。。。。实验室研究偏向涵盖操作系统与应用系统清静研究、智能终端清静研究、物联网智能装备清静研究、Web清静研究、工控系统清静研究、云清静研究。。。。。。。。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静效劳等。。。。。。。。

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 凯发k8 版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】