欢迎您访问纽约大学阿布扎比分校发现一系列影响巨大的Wi-Fi漏洞影响!

纽约大学阿布扎比分校发现一系列影响巨大的Wi-Fi漏洞影响

更新时间:2024-04-15 16:08:12作者:佚名

原来的

一、背景

近日,纽约大学阿布扎比分校安全研究员Mathy发现了一系列影响巨大的Wi-Fi漏洞,统称为计算机、智能手机、校园网络、家庭路由器、智能家居设备、智能汽车、物联网等。 )。

其中影响大多数 WiFi 设备的三个漏洞是 Wi-Fi 802.11 标准的帧聚合和帧碎片功能的设计缺陷,而其他漏洞是 Wi-Fi 产品中的编程错误。

只要黑客处于目标设备的 Wi-Fi 范围内阿布扎比大学,他或她就可以利用漏洞窃取敏感用户数据并执行恶意代码,甚至接管整个设备。

启明星辰ADLab立即对该漏洞进行分析并提出相应的缓解建议。 由于WiFi产品的协议栈,包含了Soft Mac和Full Mac的多种实现方案。 该系列漏洞不仅影响操作系统内核和WiFi驱动,还影响WiFi SOC芯片,因此该漏洞的影响长期存在。 请及时关注并更新设备厂商的安全更新。

补救和缓解建议

漏洞和具体影响列表

与 Wi-Fi 设计缺陷相关的漏洞包括:

CVE编号 漏洞介绍 漏洞影响

CVE-2020-24588

针对A-MSDU聚合的注入攻击(无效的SPP A-MSDU保护机制)

攻击者可以插入恶意帧并篡改数据包

CVE-2020-24587

混合密钥攻击(重新组织使用不同密钥加密的分片)

阿布扎比的大学_阿布扎比大学_阿布扎比大学中国学生

窃取用户敏感数据

CVE-2020-24586

分片缓存攻击(重新连接网络时分片缓存未清除)

窃取敏感用户数据或篡改任意数据包

与 Wi-Fi 实施相关的漏洞包括:

CVE编号 漏洞介绍 漏洞影响

CVE-2020-26145

在加密通信中,未加密的广播片段仍被视为完整帧

与网络配置无关,插入任意帧来篡改数据包

CVE-2020-26144

在加密通信中,未加密的A-MSDU帧仍然被接受

CVE-2020-26140

在受保护的网络中接受未加密的数据帧

CVE-2020-26143

在受保护的网络中接受分段的未加密数据帧

阿布扎比大学_阿布扎比大学中国学生_阿布扎比的大学

CVE-2020-26139

转发 EAPOL 帧时不验证发送者的身份

结合CVE-2020-24588,任何攻击者都可以插入恶意帧并篡改数据包。

CVE-2020-26146

数据包编号不连续的加密片段仍会被重组。

窃取敏感用户数据

CVE-2020-26147

分片的重组不区分加密和未加密的分片

攻击者可以插入恶意帧并篡改数据包

CVE-2020-26142

将碎片帧处理为完整帧

CVE-2020-26141

不验证分段帧的 TKIP MIC

通过这一系列漏洞,攻击者可以完全获取用户的敏感信息或直接控制智能设备,例如控制智能电源插座,甚至直接接管网络中存在漏洞的计算机阿布扎比大学,见下文参考文献[2]。

2. 漏洞分析

我们选择了所有设备中常见的三个设计漏洞CVE-2020-24586、CVE-2020-24587和CVE-2020-24588进行分析。 由于CVE-2020-24588漏洞影响较大,因此我们重点介绍CVE-2020-24588。

1. 技术背景

由于802.11 MAC层协议消耗了大量的链路维护开销,为了提高MAC层的效率,802.11n引入了帧聚合技术。 消息帧聚合技术包括:A-MSDU(MAC Data Unit )和A-MSDU。 -MPDU(MAC 协议数据单元聚合)。

A-MSDU 允许聚合具有相同目的地和应用的多个 A-MSDU 子帧。 聚合子帧仅具有一个公共 MAC 帧头。 当多个子帧聚合在一起时,减少了发送每个802.11消息所需的PLCP、PLCP和802.11 MAC头的开销,并减少了响应帧的数量,从而提高了无线传输效率。 A-MSDU消息帧聚合技术是802.11n协议的强制要求,所有支持802.11n协议的设备都必须支持它。

下图说明了802.11协议栈中发送方和接收方如何处理A-MSDU数据。

图1. 802.11协议数据处理流程

在802.11协议栈中,发送方通过数据链路层的LLC子层为来自3-7层的网络数据添加LLC/SNAP头,并封装成MSDU(MAC Data Unit)。 MSDU添加DA、SA、长度后,封装成A-MSDU子帧。 多个A-MSDU子帧被封装在MAC子层顶层的A-MSDU中。 帧数据经过MAC子层后,添加MAC头和帧尾封装成802.11数据帧(MPDU),MPDU/PSDU通过物理层添加PLCP(PLCP前导码)和PLCP(PHY头),无线侧最终通过射频端口将二进制流发送至接收端。

接收端通过反向路径对802.11数据帧进行拆解,最终得到发送端的3-7层网络数据。

A-MSDU的协议数据组成如图2所示,我们从上到下进行解释:

(1)MSDU由LCC/SNAP头、IP头、TCP/UDP头和协议数据Data组成。

(2)MSDU加上DA(目的地址)、SA(源地址)、后续数据长度和(四字节对齐)形成​​MSDU子帧。

(3)多个MSDU子帧构成802.11帧的A-MSDU域。

(4)802.11数据帧使用QOS的A-MSDU比特来指示这是一个包含A-MSDU字段的数据帧。

阿布扎比的大学_阿布扎比大学_阿布扎比大学中国学生

图2. A-MSDU数据组成图

在802.11协议中,普通802.11数据帧的结构与A-MSDU数据帧相同,只是QOS字段中的A-MSDU位为1,表示该数据帧是A-MSDU。 MSDU 数据帧。 A-MSDU位为0,表明这是一个正常的802.11数据帧。

在802.11协议中,WEP和CCMP仅保护802.11MAC的净荷。 至于802.11帧头和下层协议头则保持不变。 也就是说,802.11协议中数据帧中的QOS是不加密的,这就为攻击者提供了攻击的入口。

图 3. CCMP 加密的 802.11 数据帧格式

为了防止中间人攻击,IEEE于2011年设计了SPPA-MSDU机制来保护A-MSDU位和A-MSDU。 SPP A-MSDU通过在RSN域中添加SPPA-MSDU和SPPA-MSDU来指示是否支持SPPA-MSDU机制以及是否采用SPPA-MSDU机制。

图 4. RSN 域数据格式

2. 针对 A-MSDU 聚合的帧注入攻击 (CVE-2020-24588)

虽然有SPP A-MSDU机制来保护A-MSDU位不被篡改,但在实际测试中,几乎所有设备都没有遵循SPP A-MSDU机制,这使得中间人攻击成为可能。

我们假设发送方发送的是一个普通的802.11数据帧,里面封装的是一个普通的TCP数据包,dst=“192.168.1.2”,src=“1.2.3.4”,id=34

图 5. 原始 802.11 数据帧

由于偏移量为0x18的QOS(0200)不受保护,攻击者可以将QOS字段中的A-MSDU翻转为1,使得QOS值为8200,同时在末尾注入恶意的A-MSDU子帧2帧(如下图)(图中红线标注),最后发送到接收端。

阿布扎比大学中国学生_阿布扎比的大学_阿布扎比大学

图 6. 被篡改的 802.11A-MSDU 数据帧

由于QOS域中的A-MSDU翻转为1,所以接收端接收到数据帧时,会按照A-MSDU格式拆解里面的数据。 数据被识别为两个A-MSDU子帧。 A-MSDU子帧1中的数据是原始的MSDU数据,因此会被协议栈丢弃,但第二子帧会被正确解析和处理。 在上面的例子中,第二个子帧将被识别为ICMP ping数据包,并且接收端将向发送端回复ICMP echo Reply。

下图说明了中间人帧注入过程:

图 7. 中间人帧注入过程

(1)STA(终端)与AP(热点/无线路由器)通道A(如通道6),建立关联

(2)MITM采用多通道中间人技术,使STA认为AP已经切换到通道B(如通道11)。

(3) STA在通道11上向MITM发送加密的Wifi普通数据帧。

(4)MITM将接收到的Wifi帧的QOS字段的A-MSDU标志设置为1,并插入被篡改的A-MSDU数据。 将普通Wifi帧更改为A-MSDU帧,注入ICMP请求数据包,并通过通道6发送到AP。

(5)AP接收A-MSDU数据帧。 AP将A-MSDU拆解并分成多个A-MSDU子帧。 第一个 A-MSDU 子帧是非法数据包,将被丢弃,但后续的 MSDU 子帧 帧将被系统正常处理。 AP 将使用收到的 ICMP Echo 响应来回复 MITM。

(6) MITM收到AP的回复后,将收到的WIFI帧转发给STA,以便STA收到AP的ICMP回复。

修复 CVE-2020-24588

今年3月发布了相应补丁,修复了一系列漏洞。 5月11日,Linux还发布了一系列漏洞补丁[6]。 Linux 针对 CVE-2020-24588 的修复如下:

--- net //util.c | 3 +++ 1 个文件,3 (+) diff --git a/net//util.cb/net//util. .. --- a/net//util .c+++ b/net//util.c@@ -771,6 +771,9 @@ void 023s( *skb, *list, = skb->len - ; if ( > ) 转到清除;+/* A- MSDU */+if ((eth., ))+转到清除; 最后 =

为您推荐

阿布扎比分校 国内求职上传照片好理解,是不看你长相如何的

阿布扎比分校在指导他做简历的过程中,我发现一个有趣的事情。就是我国为什么简历里面习惯上传照片,国外一般在求职过程中很少上传个人照片。以前我只是知道国外简历里面一般不加个人照片,通过我这位博士朋友做简历,顿悟了为什么国外求职,申请学校不在简历里面上传个人照片的深层次原因。

2024-04-15 16:07

申论热点:税收促进发展,发展改善民生

我演讲的题目是:税收促进发展,发展改善民生。“税收·发展·民生”的主题,反映了税收与经济社会发展、与人民生活的紧密联系,体现了“发展为了人民、发展依靠人民、发展成果由人民共享”的时代要求。党的xx大报告指出,着力保障和改善民生,全面建成惠及十几亿人口的更高水平的小康社会。改善民生,必须以发展经济、增加财力为前提,没有税收的持续稳定增长,保障和改善民生就是空谈。

2024-02-12 18:20

国家繁荣离不开依法诚信纳税税收促进发展发展改善民生

发展改善民生税收·发展·民生党的十七大提出,要始终把实现好、维护好、发展好最广大人民的根本利益作为党和国家一切工作的出发点和落脚点,加快推进以改善民生为重点的社会建设,积极解决人民群众最关心、最直接、最现实的利益问题,保障人民的经济、政治、文化和社会权益。税收是财政收入的主要来源。目前,我国税收收入已占国家财政收入的90%以上。让我们依法诚信纳税,共享国家繁荣。浙江省国家税务局

2024-02-12 18:19

为什么没有完全没有一个统一的流程和规范,家长心里没有底

任何机构的任何一个单一的课程,都只能解决一部分孩子的一部分问题。SAT培训和考试一般是这么几个阶段这个阶段的课程一般针对低龄段还没有考试压力,但想要提前接触接触的孩子。自觉的、基础好的同学,这个阶段的课程可以跳过。因为SAT内容有的简单一些,有的难一些,一般机构会把SAT所有内容分配到2-3个课程中。有的家长觉得要学的非常非常透彻了,一次性考高分。

2024-02-12 18:10

美国福逊教育集团AtotheWorld美国褔逊国际教育

美国福逊托福、雅思、新SAT团队简介美国福逊教育托福、雅思、新SAT口语、写作导师美国福逊教育托福、雅思、新SAT口语导师美国福逊教育托福、雅思、新SAT口语导师美国福逊教育托福、雅思、新SAT听力导师美国福逊教育托福、雅思、新SAT听力、阅读导师美国福逊教育托福、雅思、新SAT听力、阅读导师近期,福逊会开设托福、雅思、新SAT的课程,具体如下:托福、雅思、新SAT培训长期班

2024-02-12 18:10

北京国际学校家长交流群--几次高年级家长聚会中

我在学校里也请教了一些我们高年级的同学,我认识的高年级同学,大部分都是在考前上过一些辅导班的,一般都会上一期,但是包括高分考生在内都没有上过很多培训班的,一般都是考前半年内上一期辅导班或者一对一辅导。在我八年级结束的暑假,接触了几家培训机构听他们的咨询介绍,他们也给我做了测试列出了给我的补习计划。比如我爸爸说他当年先备考的GMAT,之后没有任何准备就去考了托福并且得了高分。

2024-02-12 18:09

加载中...