作者：启明星辰ADLab

1、概述

2017年10月，比利时安全研究员Mathy Vanhoef披露了无线网络协议WPA2存在高危漏洞，漏洞允许攻击者监听AP和接入点STA之间传输的Wi-Fi数据流量。作者公布了漏洞验证演示视频[1][2]。由于漏洞存在于WiFi协议层，理论上所有支持WPA2的客户端（桌面操作系统、移动OS、路由器、物联网设备等）都将受到“KRACK”攻击的影响（其透过WiFi传输的数据存在被篡改、嗅探的风险，诸如被攻击者的支付、财产账号、用户名、密码、邮件、照片等敏感信息可被截获，危害大影响范围广）。

启明星辰ADLab通过对全零密钥漏洞的分析成功重现“KRACK”攻击。

2、协议简介

802.11i是IEEE工作组为无线网络802.11协议组定义的安全标准。WPA实现了IEEE 802.11i标准的大部分，是在802.11i完备之前替代WEP的过渡方案，后被WPA2取代[3]。WPA和WPA2都是基于802.11i，区别在于WPA2要求支持更安全的CCMP。WPA和WPA2均使用802.11i中定义的四次握手。

下图是客户端（Station, STA）连接接入点（Access Point, AP）的消息交互过程。

STA和AP在四次握手中协商会话密钥PTK（Pairwise Transient Key），PTK是由PMK和PKE计算生成，而PMK由ANonce、SNonce和双方MAC地址等计算生成。PTK分为KCK，KEK和TK三部分，其中，KCK用于MIC校验，KEK用于加密GTK，TK为数据加密密钥。四次握手完成后，传输数据使用TK进行加密。

3、漏洞原理

wpa_supplicant是linux系统下WiFi客户端，用于连接无线网络，Android WiFi系统引入了wpa_supplicant，它的整个WiFi系统是以wpa_supplicant为核心来定义上层用户接口和下层驱动接口。

下图为wpa_supplicant版本发布时间线。Android 6.0 WiFi系统是基于v2.5，Android 6.0+ WiFi系统是基于v2.6。

v2.4版本引入了一个全零密钥漏洞。这个漏洞是由802.11标准中的一句话引起的，该标准间接建议在安装了TK之后从内存清除TK；2016年10月发布的V2.6对这个漏洞进行了一次修复，由于考虑不全面，代码仍然存在漏洞；在2017年10月发布的补丁中，最终修复了这个漏洞。下面结合代码对漏洞进行详细分析。

3.1.  V2.4(2.5)

wpa_supplicant 2.4(2.5) 四次握手中的状态转移如下图所示：

（1）当连接到无线网络进行四次握手的时候，首先进入PTK_INIT状态。

（2）当接收到Msg1时，进入PTK-START阶段。wpa_supplicant会随机生成一个SNonce，计算一个临时PTK（TPTK），并且在Msg2中将SNonce发送给AP。

（3）当接收到Msg3时，如果MIC和replay counter校验成功，进入PTK-NEGOTIATING状态。然后将TPTK赋值给PTK，并发送Msg4。

（4）接着进入PTK-DONE阶段，安装PTK和GTK，并且打开802.1x的端口，使wpa_supplicant和AP正常接收和发送数据包。

由于无线网络存在干扰，可能会造成数据帧的丢失，因此在802.11i规定如果AP没有收到Msg2和Msg4，会相应的重传Msg1和Msg3。从图中可以看出，当完成PTK安装后，如果收到重传的Msg3，会重新安装PTK。

当wpa_supplicant收到Msg3后，会调用wpa_supplicant_install_ptk函数安装PTK，其中wpa_sm_set_key函数负责将密钥PTK.TK安装到驱动。在supplicant v2.4(v2.5)中，在调用wpa_sm_set_key函数完成PTK的安装后，执行os_memset(sm->ptk.tk, 0, WPA_TK_MAX_LEN)，对PTK.TK进行清零操作。

如果攻击者劫持Msg3或Msg4，造成Msg3的重传，根据状态转移图，STA会重新安装PTK，而PTK.TK之前已经被清零，导致STA安装全零加密密钥。

3.2.  V2.6

下面结合V2.5和V2.6的源代码进行分析。

（1）V2.6在wpa_sm结构体中添加了一个标志位tk_to_set。

（2）V2.6修改了wpa_supplicant_install_ptk函数。在安装完PTK后，将tk_to_set赋值为0，当再次进入该函数时，如果tk_to_set==0，直接return，不再重装PTK。

（3）V2.6修改wpa_supplicant_process_1_of_4函数。当每次收到Msg1时，计算tptk，并将tk_to_set重置为1。

针对V2.6，攻击者通过在重传的Msg3之前插入一个伪造的Msg1，仍然可以实现全零密钥的安装。虽然STA首次安装PTK后对tk_to_set进行清零，但是紧接处理伪造的 Msg1时，将tk_to_set重置为1，因此在最后处理重传Msg3时，成功绕过wpa_supplicant_install_ptk函数的tk_to_set条件判断代码。

在2017年10月发布的补丁中，删除了wpa_supplicant_process_1_of_4函数中的sm->tk_to_set = 1;语句，修复了全零密钥漏洞。

4、漏洞重现

启明星辰ADLab “KRACK”重现视频地址为：https://v.qq.com/x/page/m0538vcwqbb.html 。

视频中出现的步骤及提示字幕：

1.本实验使用Nexus6手机作为被攻击设备。

2.首先，Nexus连接到真实AP(SSID=wap，加密方式是WPA2，信道10，频率2457)。

3.接着，运行Hostapd创建克隆AP(SSID=wap，加密方式是WPA2，信道3，频率2422)。

4.同时，启动wireshark监听克隆AP网卡，捕获客户端数据。

5.运行攻击脚本，指定AP的SSID和Nexus的Mac地址。

6.运行ssltrip,进行Https降级。

a.wireshark显示了建立连接的数据包。

b.攻击成功，Nexus连接到克隆wap，频率2422。

c.访问uk.match.com 显示当前连接为http连接，输入测试用户名和密码。

d.wireshark可以成功捕获用户名和密码。

e.关闭Hostapd（频率2422）。

f.重新连接到真实wap（频率2457），再次访问uk.match.com 显示连接为https连接。

下表中列出了重现视频中使用的设备：

5、漏洞编号及修复情况

“KRACK”涉及的相关漏洞编号：

CVE-2017-13077: 在四次握手中重装成对加密密钥（PTK-TK）

CVE-2017-13078: 在四次握手中重装组密钥（GTK）

CVE-2017-13079: 在四次握手中重装完整组密钥（IGTK）

CVE-2017-13080: 在组密钥握手中重装组密钥（GTK）

CVE-2017-13081: 在组密钥握手中重装完整组密钥（IGTK）

CVE-2017-13082: 接受重新传输的快速BSS切换（FT）重新关联请求，重装成对加密密钥（PTK-TK）

CVE-2017-13084: 在PeerKey握手中重装STK密钥

CVE-2017-13086: 在TDLS（Tunneled Direct-Link Setup）握手中重装TDLS PeerKey（TPK）

CVE-2017-13087: 处理无线网络管理（WNM）休眠模式响应帧时重装组密钥（GTK）

CVE-2017-13088: 处理无线网络管理（WNM）休眠响应帧时重装完整组密钥（IGTK）

修复情况：

2017年10月2日，Linux的hostapd和wpa_supplicant 补丁已公布，详见 https://w1.fi/security/2017-1/。

2017年10月10日，微软在Windows 10 操作系统中发布补丁 KB4041676。

苹果在最新的 beta 版本iOS、macOS、 tvOS和 watchOS中修复了无线网络安全漏洞。

6、参考链接

[1]https://www.krackattacks.com/

[2]https://papers.mathyvanhoef.com/ccs2017.pdf

[3]https://zh.wikipedia.org/wiki/WPA