安全動(dòng)態(tài)

安全人員在 Wi-Fi WPA3 標(biāo)準(zhǔn)中發(fā)現(xiàn)了 Dragonblood 漏洞組

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-04-13    瀏覽次數(shù):
 

信息來(lái)源:hackernews

兩位安全研究人員今天披露了一組漏洞,這些漏洞統(tǒng)稱為Dragonblood,影響了WiFi聯(lián)盟最近發(fā)布的WPA3 Wi-Fi安全和認(rèn)證標(biāo)準(zhǔn)。如果被利用,漏洞將允許在受害者網(wǎng)絡(luò)范圍內(nèi)的攻擊者獲得Wi-Fi密碼并滲透目標(biāo)網(wǎng)絡(luò)。

Dragonblood漏洞組總共有五個(gè)漏洞,包括一個(gè)拒絕服務(wù)攻擊漏洞、兩個(gè)降級(jí)攻擊漏洞和兩個(gè)側(cè)通道信息泄漏漏洞。盡管拒絕服務(wù)攻擊漏洞并不重要,因?yàn)樗粫?huì)導(dǎo)致與WPA3兼容的訪問(wèn)點(diǎn)崩潰,但其他四個(gè)攻擊可以用于獲得用戶密碼。

兩個(gè)降級(jí)攻擊和兩個(gè)側(cè)通道泄漏漏洞都利用了WPA3標(biāo)準(zhǔn)Dragonfly密鑰交換中的設(shè)計(jì)缺陷,即客戶端在WPA3路由器或接入點(diǎn)上進(jìn)行身份驗(yàn)證的機(jī)制。

在降級(jí)攻擊中,支持WiFi WPA3的網(wǎng)絡(luò)可以誘導(dǎo)設(shè)備使用更舊、更不安全的密碼交換系統(tǒng),從而允許攻擊者使用舊的漏洞檢索網(wǎng)絡(luò)密碼。

在側(cè)通道信息泄漏攻擊中,支持WiFi WPA3的網(wǎng)絡(luò)可以欺騙設(shè)備使用較弱的算法,這些算法會(huì)泄漏少量有關(guān)網(wǎng)絡(luò)密碼的信息。通過(guò)反復(fù)的攻擊,最終可以恢復(fù)完整的密碼。

 
 

上一篇:網(wǎng)絡(luò)安全,數(shù)據(jù)第一

下一篇:國(guó)家版權(quán)局:各圖片公司要規(guī)范版權(quán)運(yùn)營(yíng) 不得濫用權(quán)利