OG东方厅

首页 > 安全钻研 > 钻研汇报 > 安全缝隙分析

FragAttacks缝隙分析

颁布功夫 2021-05-18

布景

近日，纽约大学阿布扎比分校的安全钻研员Mathy Vanhoef发现了一系列影响巨大的Wi-Fi缝隙，这一系列缝隙被统称为FragAttacks，FragAttacks影响了1997年Wi-Fi技术诞生以来的所有Wi-Fi设备（蕴含推算机、、、智能手机、、、园区网络、、、家庭路由器、、、智能家居设备、、、智能汽车、、、物联网等等）。�！�

其中三个缝隙影响大无数WiFi设备，属于Wi-Fi 802.11尺度帧聚合和帧分片职能中的设计缺点，而其他缝隙是Wi-Fi产品中的编程谬误。�！�

黑客只有在指标设备的Wi-Fi领域内，就能利用FragAttacks缝隙窃取敏感用户数据并执行恶意代码，甚至能够收受整个设备。�！�

OG东方厅ADLab第一功夫对缝隙进行了分析，并提出了相应的缓解建议。�！Ｓ捎赪iFi产品的和谈栈，蕴含了Soft Mac及Full Mac多种实现规划。�！ragAttacks系列缝隙不仅存在影响操作系统内核、、、WiFi驱动，还影响WiFi的SOC芯片，所以缝隙的影响持久存在。�！Ｇ胧凳惫刈⒉⒏律璞腹└痰陌踩隆��！�

修复及缓解建议

● 实时更新设备供给商颁布的FragAttacks缝隙安全更新。�！�

● 确保您接见的所有网站和在线服务都启用了安全超文本传输和谈HTTPS(好比装置HTTPS Everywhere插件)。�！�

● 例如在Wi-Fi 6（802.11ax）设备中禁用分片，禁用成对重新天生密钥以及禁用动态分片。�！�

缝隙列表及具体影响

Wi-Fi设计缺点有关的缝隙蕴含：

CVE编号	缝隙介绍	缝隙影响
CVE-2020-24588	针对A-MSDU聚合的注入攻击（无效的SPP A-MSDU�；；せ疲�	攻击者可插入恶意帧，篡改数据包
CVE-2020-24587	混合密钥攻击（重组时使用分歧密钥加密的分片	密取用户的敏感数据
CVE-2020-24586	分片缓存攻击（重新衔接到网络时不断根分片缓存）	窃取用户敏感数据或篡改肆意数据包

Wi-Fi实现有关的缝隙蕴含：

CVE编号	缝隙介绍	缝隙影响
CVE-2020-26145	在加密通讯中，仍接受未加密广播分片作为齐全帧	独立于网络配置，插入肆意帧，从而篡改数据包
CVE-2020-26144	在加密通讯中，仍接受未加密的A-MSDU帧
CVE-2020-26140	在受�；；さ耐缰薪邮芪醇用苁葜�
CVE-2020-26143	在受�；；さ耐缰薪邮芊制奈醇用苁葜�
CVE-2020-26139	转发EAPOL帧时未验证发送端的身份	和CVE-2020-24588结合起来，插入任攻击者可插入恶意帧，篡改数据包
CVE-2020-26146	对于非陆续数据包编号的加密分片依然进行重新组合	窃取用户敏感数据
CVE-2020-26147	对分片进行重新组应时不分辨加密或未加密	攻击者可插入恶意帧，篡改数据包
CVE-2020-26142	将分片帧作为齐全帧进行处置
CVE-2020-26141	不验证分片帧的TKIP MIC

通过这一系列缝隙，攻击者齐全能够获得用户的敏感信息或直接节制智能设备，如节制智能电源插座，甚至直接管受网络中存在缝隙的推算机，拜见下文参考资料[2]。�！�

缝隙分析

我们拔取了在所有设备普遍存在的CVE-2020-24586、、、CVE-2020-24587、、、CVE-2020-24588三个设计缝隙进行分析。�！Ｓ捎贑VE-2020-24588的缝隙影响较大，我们着重进行介绍CVE-2020-24588。�！�

1、、、技术布景

由于802.11MAC层和谈耗费了相当多开销用作链路的守护，为了提高MAC层的效能，802.11n引入帧聚合技术，报文帧聚合技术蕴含：A-MSDU(MAC服务数据单元聚合) 及 A-MPDU(MAC和谈数据单元聚合)。�！�

A-MSDU允许对主张地及利用都一样的多个A-MSDU子帧进行聚合，聚合后的多个子帧只有一个共同的MAC帧头，当多个子帧聚合到一路后，从而削减了发送每一个802.11报文所需的PLCP Preamble、、、PLCP Header和802.11MAC头的开销，同时削减了应答帧的数量，从而提高无线传输效能。�！-MSDU报文帧聚合技术是802.11n和谈的强制要求，所有支持802.11n和谈的设备都必须支持。�！�

下图示意了在802.11和谈栈中，发送端和接管端是若何处置A-MSDU数据的。�！�

图1. 802.11和谈数据处置流程

在802.11和谈栈中，发送端将来自3-7层的网络数据经过数据链路层的LLC子层增长LLC/SNAP头后封装成MSDU(MAC服务数据单元），MSDU经过增长DA、、、SA、、、长度及pading后，封装成A-MSDU子帧，在MAC子层的顶层将多个A-MSDU子帧封装成A-MSDU，经MAC子层后，帧数据被增长上MAC头及帧尾封装成802.11数据帧��！（MPDU），MPDU/PSDU经过物理层增长PLCP Preamble（PLCP前导码）及PLCP Header（PHY头），无线侧最后通过射频口将二进制流发送到接管端。�！�

接管端通过相反蹊径对802.11数据帧进行拆解，最后获得发送端的3-7层的网络数据。�！�

A-MSDU的和谈数据组成如图2所示，我们从上到下进行别离注明：

（1）一个MSDU由LCC/SNAP头、、、IP头、、、TCP/UDP头及和谈数据Data组成。�！�

（2）MSDU增长DA(主张地址)，SA(源地址)，后续数据长度及Padding(四字节对齐)组成一个MSDU子帧。�！�

（3）多个MSDU子帧组成一个802.11帧的A-MSDU域。�！�

（4）802.11数据帧通过QOS Control的A-MSDU Present位来暗示这是一个蕴含A-MSDU域的数据帧。�！�

图2. A-MSDU数据组成示意

在802.11和谈中，一个通常的802.11数据帧与A-MSDU数据帧的结构是一样的，只是QOS Control域的A-MSDU Preset位为1，则标示了该数据帧是一个A-MSDU数据帧。�！-MSDU Preset位为0，则标示这是通常802.11数据帧。�！�

在802.11和谈中WEP及CCMP只�；；�802.11MAC的有效载荷，至于802.11帧头以及基层和谈的标头则原封不动，也就是说802.11和谈中数据帧中QOS Control并没有加密，这为攻击者提供了攻击入口。�！�

图3. CCMP加密的802.11数据帧体式

为预防中央人攻击，IEEE在2011年设计了SPPA-MSDU机制来�；；-MSDU Preset位及A-MSDU的Payload。�！PP A-MSDU通过在RSN capabilities 域中增长SPP A-MSDU Capable及SPP A-MSDU Required来标示是否支持SPP A-MSDU机制及是否选取SPP A-MSDU机制。�！�

图4. RSN Capabilities 域数据体式

2、、、针对A-MSDU聚合的帧注入攻击(CVE-2020-24588)

固然有SPP A-MSDU机制来�；；-MSDU Preset位不被篡改，但是在现实的测试中，险些所有的设备都不遵循SPP A-MSDU机制，这使得中央人攻击成为可能。�！�

我们如果发送端发送了一个正常的802.11数据帧，这是一个里面封装的是一个通常TCP包，其dst=“192.168.1.2", src="1.2.3.4", id=34

图5. 原始的802.11数据帧

由于偏移0x18的QOS Control(0200）不受�；；�，攻击者能够将 QOS Control域中的A-MSDU Preset翻转为1，使得QOS Control的值为8200，同时在帧末尾注入恶意的A-MSDU子帧2（如下图的红色线标示），最后发送给接管端。�！�

图6. 篡改后的802.11A-MSDU数据帧

由于QOS Control域中的A-MSDU Preset翻转为1，当接管端接管到数据帧后，会按A-MSDU体式来拆解里面的数据。�！Ｊ荼患鸪闪礁鯝-MSDU子帧。�！-MSDU子帧1中的数据是原始的MSDU数据，所以会被和谈栈抛弃，但第二个子帧会被正确解析并处置。�！Ｕ馍厦娴睦又械诙鲎又』岜患鸪蒊CMP ping包，接管端会回复一个ICMP echo Reply给发送端。�！�

视频1. 发送端收到ICMP echo Reply

下图示意了中央人帧注入流程：

图7. 中央人帧注入流程

（1）STA（终端）和AP（热点/无线路由器）信道A（如信道6）, 成立关联

（2）MITM利用多信道中央人技术使得STA以为AP已经切换到信道B（如信道11）。�！�

（3）STA在信道11给 MITM发送加密的Wifi正常数据帧。�！�

（4）MITM将接管到的Wifi帧QOS域的A-MSDU Preset标示设为1，同时插入篡改的A-MSDU数据。�！０岩桓稣５腤ifi帧改成一个A-MSDU帧，并注入一个ICMP要求包，并在通道6发给AP。�！�

（5）AP接管到A-MSDU数据帧，AP拆解A-MSDU，分成多个A-MSDU子帧，其中第一个A-MSDU子帧为犯法包，会被抛弃，但后续的MSDU子帧会被系统正常处置。�！P会回复收到一个ICMP Echo 应答给MITM。�！�

（6）MITM收到AP的回复后，将接管到的WIFI帧转发给STA，这样STA收到AP回复的ICMP应答。�！�

CVE-2020-24588的修复

今年3月Windows颁布了相应的补丁，修复了FragAttacks系列缝隙，5月11日Linux也颁布了FragAttacks系列缝隙补丁[6]，Linux针对CVE-2020-24588的修复如下：

---

net/wireless/util.c | 3 +++

1 file changed, 3 insertions(+)

diff --git a/net/wireless/util.c b/net/wireless/util.c

index 39966a873e40..7ec021a610ae 100644

--- a/net/wireless/util.c

+++ b/net/wireless/util.c

@@ -771,6 +771,9 @@ void ieee80211_amsdu_to_8023s(struct sk_buff *skb, struct sk_buff_head *list,

remaining = skb->len - offset;

if (subframe_len > remaining)

goto purge;

+/* mitigate A-MSDU aggregation injection attacks */

+if (ether_addr_equal(eth.h_dest, rfc1042_header))

+goto purge;

offset += sizeof(struct ethhdr);

last = remaining <= subframe_len + padding;

--

由于在A-MSDU聚合注入攻击中，必要将通常加密Wi-Fi帧转换为A-MSDU帧。�！Ｕ庖馕蹲诺谝桓鯝-MSDU子帧的前6字节对应于RFC1042的帧头，liunx内核通过增长判断DA（指标地址）是否和rfc1042_header(\xaa\xaa\x03\x00\x00\x00)一致，若是相称则以为是恶意攻击，能够把这个A-MSDU帧抛弃。�！�

混合密钥攻击(CVE-2020-24587)

图8.混合密钥攻击流程

在步骤1傍边，攻击者诱导受害者接见受攻击者节制的服务器，通过一些伎俩，好比指定一个超长的URL，从而使受害者发送的数据包不得不分成两段进行传输，分片的数据包用秘钥k加密，这两个数据包为和。�！６セ髡咄ü嘈诺赖闹醒肴私欣菇�，一旦监测到攻击者指定IP数据包，便将此数据包转发给AP，即AP一旦收到此数据包后，就将其解密后存在内存傍边。�！�

在步骤2进行之前，受害者必要与AP重新进行四次握手并协商新的密钥。�！Ｖ蠊セ髡咂诖芎φ叻⑺驮毯舾行畔⒌氖莅�，即和。�！９セ髡呓莅怕胛猲+1的数据包拦截，并将其序列号批改为s，而后转发给AP，即数据包。�！６鳤P直接把他当作序列号s数据包的第二个分片信息，将他解密后重组成新的数据包，而新的数据包中蕴含受害者的敏感信息与攻击者指定的IP。�！Ｒ蚨舾行畔⒕捅环⑺偷绞芎φ呓谥频姆衿魃�，造成信息泄露。�！�

分片缓存投毒攻击(CVE-2020-24586)

图9.分片缓存投毒攻击流程

在步骤1中，攻击者嗅探到受害者的MAC地址后，伪造受害者MAC地址去衔接AP。�！Ｕ庋湍芄缓戏ǖ挠檬芎φ叩纳矸菰贏P的内存中插入分片。�！�

在步骤2中，受害者进行正常的认证工作，此时攻击者发送数据包，这个数据包中蕴含攻击者指定的IP数据包。�！６驛P解密此数据包，并保留在内存中，以受害者的MAC地址作为标识。�！６蠊セ髡咄ü⑺徒獬现さ氖莅⒍峡谓�，随后在受害者和AP之间成立一个多信道的中央人。�！０盐却耸盇P内存中的分片并没有被断根。�！�

之后受害者与AP之间进行正常的衔接。�！４耸惫セ髡咧槐匾诖芎φ叻⑺偷诙龇制�，数据包号码为n+1，攻击者将此数据包拦截后，并将此数据包的序列号批改为s，而后其转发给AP，即数据包，一旦AP收到此数据包，和混合密钥缝隙类似，AP会将此数据包解密，并和之前保留在缓存中的数据包重组成新的数据包，由于这两个数据包蕴含一样的MAC地址和序列号。�！Ｗ詈�，AP将重组后的数据包发送给攻击者节制的服务器，从而造成敏感信息泄露。�！�

参考链接：

【1】https://papers.mathyvanhoef.com/usenix2021.pdf

【2】https://www.youtube.com/embed/88YZ4061tYw

【3】https://www.fragattacks.com/#notpatched

【4】https://github.com/vanhoefm/fragattacks

【5】https://lore.kernel.org/linux-wireless/20210511180259.159598-1-johannes@sipsolutions.net/

OG东方厅积极防御尝试室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术钻研尝试室之一，微软MAPP打算主题成员，“黑雀攻击”概念首推者。�！＝刂鼓壳�，ADLab已通过CVE累计颁布安全缝隙近1100个，通过 CNVD/CNNVD累计颁布安全缝隙1000余个，持续维持国际网络安全领域一流水准。�！３⑹允易暄蟹较蚝遣僮飨低秤肜孟低嘲踩暄�、、、智能终端安全钻研、、、物联网智能设备安全钻研、、、Web安全钻研、、、工控系统安全钻研、、、云安全钻研。�！Ｗ暄谐删屠糜诓分魈饧际踝暄�、、、国度重点科技项目攻关、、、专业安全服务等。�！�

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合众数据书生电子云子可信

司法申明

Copyright ? OG东方厅版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】