아이리포지식창고 Security - KRACK 오민석정보관리기술사 (min-oh@korea.ac.kr) KRACK, WI-Fi 보안의핵심취약점 Concept (KRACK 의정의 ) - Wi-Fi 연결을보호하기위한 WPA2 프로토콜의 4-way handshake 과정에서 MITM 공격을통해패킷의재생, 복호화, 변조가가능한공격 KeyWord WPA2, WPA2 Vulnerability, Key Reinstallation Attacks, KRACK MITM(Man In The Middle) KRACK 의개요 2017 년 10 월 15 일전세계를강타한 WPA2 취약점이발견되었다. 이취약점은 WPA2 의 4-way handshake 과정에서 Key Reinstallation 을이용한 MITM(Man In The Middle) 공격을통해패킷의재생, 복호화, 변조가가능한취약점이다. 이것이의미하는것은전세계인구의 45% 가사용하는무선인터넷환경이안전하지않게됐다는의미이다. 이후 WPA2 를이용하는장비의추가적인패치와차세대와이파이보안프로토콜인 WPA3 가나왔지만아직도많은모바일기기들과무선공유기가 KRACK 의취약점에노출되어있어, 그위험은사라지지않고있다. 이에본고에서는 WPA2 의보안프로세스와이과정에서의 KRACK 의취약점을이용한공격방법과대응방법에대해살펴보도록하겠다. KRACK 의취약점 WPA/WPA2 에대한 KRACK 의취약점은현재 10 가지가있고관련내용은표 1 과같다. CVE 번호 13077 13078 13079 13080 취약점요약 Reinstallation of the pairwise encryption key (PTK-TK) in the four-way handshake. Reinstallation of the group key (GTK) in the four-way handshake Reinstallation of the integrity group key (IGTK) in the four-way handshake Reinstallation of the group key (GTK) in the group key handshake. Copyright 2018 By 아이리포 & CSLEE All rights reserved 1
13081 13082 13084 13086 13087 13088 Reinstallation of the integrity group key (IGTK) in the group key handshake. Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it. Reinstallation of the STK key in the PeerKey handshake Reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake. Reinstallation of the group key (GTK) while processing a Wireless Network Management (WNM) Sleep Mode Response frame Reinstallation of the integrity group key (IGTK) while processing a Wireless Network Management (WNM) Sleep Mode Response frame [ 표 1] KRACK 취약점정보요약 그리고이러한취약점들을통해 KRACK 의특징은아래와같이요약될수있다. 외부에서 WPA2 의접속암호를알아낼순없다. Attacker 가 Victim 과같은네트워크망에있어야한다. Man In The Middle 공격통해패킷에대한재생, 복호화, 변조가가능하다. 결국, KRACK 취약점을이용하면 AP 에접속하지않고서도 AP 와 Station 사이의암호화된데이터를가로챌수있어신용카드정보, 각종패스워드, 채팅, 이메일등의정보에대한도용이가능하다. 이와같은 KRACK 의특징을인지하고 WPA2 의인증과정에서 KRACK 취약점을이용한 MITM 공격시나리오에대해알아보고대응방안에대해살펴보도록하겠다. WPA2 의보안프로세스와 KRACK 의 MITM Attack 시나리오 KRACK 취약점은 AP 와 Station 간에상호작용하는인증절차의과정에서발생된다. AP 또는 Station 이보낸암호화검증메시지를중간에가로채어동일하게전달함으로써발생되는오류를이용한재인증공격방법이다. 그림 1 은이러한 KRACK 의 MITM 공격에시나리오를도식화하여보여주고있다. Copyright 2018 By 아이리포 & CSLEE All rights reserved 2
[ 그림 1] KRACK 의 MITM 공격시나리오 Attacker 가 AP 와 Victim 의사이에서 MITM 공격을통해패킷을스니핑하고이를복호화하여악용할수있는시나리오이다. 이는 WPA 의인증을위한 4way-handshake 과정에서 key 의 Reinstall 을이용한공격이며, 이과정을보다상세히설명해주고있는것이그림 2 의프로세스이다. Copyright 2018 By 아이리포 & CSLEE All rights reserved 3
[ 그림 2] WPA2 4-way hanfshake 과정에서의 KRACK 시나리오 그림 2 에서의공격시나리오를자세히살펴보면아래와같다. 1 공격자는메시지를보다가 Msg4 를가로채고보내지않는다. 2 클라이언트는 Msg4 를보낸직후 PTK & GTK 를설치하고, 설치한 PTK 로데이터를암호화해서보낸다. 3 AP 는 Msg4 가오지않으므로클라이언트가 Msg3 를못받은걸로생각하고, 다시 MSG4 를설치했던 PTK 로암호화해서보낸다. 공격자는이걸그대로전달한다. 클라이언트는 Msg3 를받고 nonce 와 replay 카운터를초기화한다. 4 AP 사이드에연결을성립시켜서 PTK 설치하게한다. 생각해보면 AP 는 Msg4 를받지않아아직 PTK 가설치되어있지않기때문에, 클라이언트가보낸암호화된 Msg4 를 reject 할것이다. 그러나 802.11 표준을유심히살펴보면마지막 counter 뿐만아니라 4- way handshake 에사용된모든 replay counter 를받아들이도록되어있어서문제없다. 즉, 어떤 AP 는 r+1 을받아들이고어떤 AP 는이전에암호화된 Msg4 를받아들임 5 클라이언트가데이터를다시동일한 Nonce 와 PTK 로암호화해서보낸다. 기존에 WPA 가보안을유지하는방식은 Key 를계속 Refresh 하여악의적인복호화등으로부터기밀성을유지하는것인데 MITM 을통해 key 를재사용하고 Packet Number 를초기화함으로써 WPA 의기밀성에대한보안을무력화시키는것이다. 표 2 는 WPA 의암호알고리즘의 KRACK 에대한취약점을보여주고있다. Encryption Vulnerability Decryption AES CCMP WPA TKIP GCMP 패킷복호화패킷복호화위변조 삽입가능 KRACK 공격을통해 Packet Number 를초기화하여패킷재조합가능 IV 재사용으로발생된 WEP 취약점보안을위해 IV Field 를 PN(Packet Number) 으로사용함. KRACK 공격을통해 Packet Number 를초기화할수있으므로암호화시사용된 IV* 값을획득할수있음 Wireless Gigabit(WiGig) 에사용되는암호화방식. 두가지통신방향에서동일한인증키를사용하므로 KRACK 취약점을통한인증키탈취가능 [ 표 2] WPA 에사용되는암호알고리즘과 KRACK 에대하 Copyright 2018 By 아이리포 & CSLEE All rights reserved 4
KRACK 의대응방안 1)AP 와 Station 에서의대응방안 Type CVE 13077 Reinstallation of the pairwise encryption key (PTK-TK) in the four-way handshake. 13078 Reinstallation of the group key (GTK) in the four-way handshake 13079 Reinstallation of the integrity group key (IGTK) in the four-way handshake Station Side 13080 Reinstallation of the group key (GTK) in the group key handshake. 13081 Reinstallation of the integrity group key (IGTK) in the group key handshake. 13087 Reinstallation of the group key (GTK) while processing a Wireless Network Management (WNM) Sleep Mode Response frame 13082 *Root Cause Fix Update Station Software *Mitigation *Zero-day Protection Update AP AP MAC Software Spoofing Protection AP Side Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it. Update AP Software [ 표 3] AP 와 Station 에서의 KRACK 의대응방안 Copyright 2018 By 아이리포 & CSLEE All rights reserved 5
2) 사용자관점에서의대응방안 무선으로연결된모든기기를업데이트하라. - 컴퓨터, 스마트폰, 태플릿 PC 등와이파이가연결된모든기기와라우터의보안패치를가장최신의것으로업데이트하라. 미래에발생할수있는보안취약점에대비해보안패치를자동업데이트모드로설정하는것도한방법이다. 라우터를살펴라. - 라우터의펌웨어역시업데이트가필요하다. 인터넷서비스제공자 (ISP) 에서라우터를제공받았다면, 해당회사에알맞은패치키트가무엇인지물어보라. 결론 KRACK 과같은취약점이발견되면전문가들이빠른속도로패치를내어놓고근본적으로이러한취약점을대응할수있는새로운프로토콜을금새개발하곤한다. 그러나많은기업, 일반사용자들은이러한것이관심을두고있지않다. 아직도오래된프로토콜을사용하고패치를하지않은소프트웨어를사용하고있다. 옛말에구슬이서말이어도꿰어야보배라는말이있다. 우리가안전한무선인터넷환경을활용하기위해서는이러한보안취약점에대해항상관심을갖고지속적인패치를하는것이가장중요하다. 오늘부터라도이글을읽는순간부터라도내가사용하고있는무선환경들이최신의소프트웨어로패치되었는지관심을가지고확인해보도록하자. 끝 Reference 1)https://ko.wikipedia.org/ 2)https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26752&queryString=cGF nzt0xjnnvcnrfy29kzt0mc2vhcmnox3nvcnq9dgl0bgvfbmftzszzzwfyy2hfd29yzd1rcmfjayz4ptam et0w 3)http://www.norma.co.kr/wpa2-krack-%EC%B7%A8%EC%95%BD%EC%A0%90- %EC%A0%95%EB%A6%AC/ 4) http://blog.skinfosec.com/221144209528 Copyright 2018 By 아이리포 & CSLEE All rights reserved 6
Contents connect communications!! 아이리포에오시면더많은지식을가져가실수있습니다. 아이리포온라인 : http://www.ilifo.co.kr 아이리포지덤시리즈 : http://www.jidum.com 아이리포 IT 지식창고 : https://www.ilifo.co.kr/boards/knowledge 아이리포기술사 / 감리사카페 : http://cafe.naver.com/itlf 서울시마포구상암동 1610 번지, DDMC 3 층아이리포교육센터 TEL: 02-303-9997 MAIL: edu@ilifo.co.kr Copyright 2018 By 아이리포 & CSLEE All rights reserved 7