作者：启明星辰ADLab

1.概述

2017年10月，比利时安全研究员Mathy Vanhoef披露了无线网络协议WPA2存在高危漏洞，漏洞允许攻击者监听AP和接入点STA之间传输的Wi-Fi数据流量。作者公布了漏洞验证演示视频[1][2]。由于漏洞存在于WiFi协议层，理论上所有支持WPA2的客户端（桌面操作系统、移动OS、路由器、物联网设备等）都将受到“KRACK”攻击的影响（其透过WiFi传输的数据存在被篡改、嗅探的风险，诸如被攻击者的支付、财产账号、用户名、密码、邮件、照片等敏感信息可被截获，危害大影响范围广）。

启明星辰ADLab通过对全零密钥漏洞的分析成功重现“KRACK”攻击。

2.协议简介

802.11i是IEEE工作组为无线网络802.11协议组定义的安全标准。WPA实现了IEEE 802.11i标准的大部分，是在802.11i完备之前替代WEP的过渡方案，后被WPA2取代[3]。WPA和WPA2都是基于802.11i，区别在于WPA2要求支持更安全的CCMP。WPA和WPA2均使用802.11i中定义的四次握手。

下图是客户端（Station, STA）连接接入点（Access Point, AP）的消息交互过程。

STA和AP在四次握手中协商会话密钥PTK（Pairwise Transient Key），PTK是由PMK和PKE计算生成，而PMK由ANonce、SNonce和双方MAC地址等计算生成。PTK分为KCK，KEK和TK三部分，其中，KCK用于MIC校验，KEK用于加密GTK，TK为数据加密密钥。四次握手完成后，传输数据使用TK进行加密。

3.漏洞原理

wpa_supplicant是linux系统下WiFi客户端，用于连接无线网络，Android WiFi系统引入了wpa_supplicant，它的整个WiFi系统是以wpa_supplicant为核心来定义上层用户接口和下层驱动接口。

下图为wpa_supplicant版本发布时间线。Android 6.0 WiFi系统是基于v2.5，Android 6.0+ WiFi系统是基于v2.6。

v2.4版本引入了一个全零密钥漏洞。这个漏洞是由802.11标准中的一句话引起的，该标准间接建议在安装了TK之后从内存清除TK；2016年10月发布的V2.6对这个漏洞进行了一次修复，由于考虑不全面，代码仍然存在漏洞；在2017年10月发布的补丁中，最终修复了这个漏洞。下面结合代码对漏洞进行详细分析。

3.1.V2.4(2.5)

wpa_supplicant 2.4(2.5) 四次握手中的状态转移如下图所示：

1. 当连接到无线网络进行四次握手的时候，首先进入PTK_INIT状态。
2. 当接收到Msg1时，进入PTK-START阶段。wpa_supplicant会随机生成一个SNonce，计算一个临时PTK（TPTK），并且在Msg2中将SNonce发送给AP。
3. 当接收到Msg3时，如果MIC和replay counter校验成功，进入PTK-NEGOTIATING状态。然后将TPTK赋值给PTK，并发送Msg4。
4. 接着进入PTK-DONE阶段，安装PTK和GTK，并且打开802.1x的端口，使wpa_supplicant和AP正常接收和发送数据包。

由于无线网络存在干扰，可能会造成数据帧的丢失，因此在802.11i规定如果AP没有收到Msg2和Msg4，会相应的重传Msg1和Msg3。从图中可以看出，当完成PTK安装后，如果收到重传的Msg3，会重新安装PTK。

当wpa_supplicant收到Msg3后，会调用wpa_supplicant_install_ptk函数安装PTK，其中wpa_sm_set_key函数负责将密钥PTK.TK安装到驱动。在supplicant v2.4(v2.5)中，在调用wpa_sm_set_key函数完成PTK的安装后，执行os_memset(sm->ptk.tk, 0, WPA_TK_MAX_LEN)，对PTK.TK进行清零操作。

如果攻击者劫持Msg3或Msg4，造成Msg3的重传，根据状态转移图，STA会重新安装PTK，而PTK.TK之前已经被清零，导致STA安装全零加密密钥。

……… ………

3.2.V2.6

下面结合V2.5和V2.6的源代码进行分析。 （1）V2.6在wpa_sm结构体中添加了一个标志位tk_to_set。

（2）V2.6修改了wpa_supplicant_install_ptk函数。在安装完PTK后，将tk_to_set赋值为0，当再次进入该函数时，如果tk_to_set==0，直接return，不再重装PTK。

（3）V2.6修改wpa_supplicant_process_1_of_4函数。当每次收到Msg1时，计算tptk，并将tk_to_set重置为1。 …………………………. 针对V2.6，攻击者通过在重传的Msg3之前插入一个伪造的Msg1，仍然可以实现全零密钥的安装。虽然STA首次安装PTK后对tk_to_set进行清零，但是紧接处理伪造的 Msg1时，将tk_to_set重置为1，因此在最后处理重传Msg3时，成功绕过wpa_supplicant_install_ptk函数的tk_to_set条件判断代码。

在2017年10月发布的补丁中，删除了wpa_supplicant_process_1_of_4函数中的sm->tk_to_set = 1;语句，修复了全零密钥漏洞。

4.漏洞重现

启明星辰ADLab “KRACK”重现视频地址为：https://v.qq.com/x/page/m0538vcwqbb.html 。

视频中出现的步骤及提示字幕：

1. 本实验使用Nexus6手机作为被攻击设备。
2. 首先，Nexus连接到真实AP(SSID=wap，加密方式是WPA2，信道10，频率2457)。
3. 接着，运行Hostapd创建克隆AP(SSID=wap，加密方式是WPA2，信道3，频率2422)。
4. 同时，启动wireshark监听克隆AP网卡，捕获客户端数据。
5. 运行攻击脚本，指定AP的SSID和Nexus的Mac地址。
6. 运行ssltrip,进行Https降级。

a. wireshark显示了建立连接的数据包。
b. 攻击成功，Nexus连接到克隆wap，频率2422。
c. 访问uk.match.com 显示当前连接为http连接，输入测试用户名和密码。
d. wireshark可以成功捕获用户名和密码。
e. 关闭Hostapd（频率2422）。
f. 重新连接到真实wap（频率2457），再次访问uk.match.com 显示连接为https连接。

下表中列出了重现视频中使用的设备：

5.漏洞编号及修复情况

“KRACK”涉及的相关漏洞编号：

• CVE-2017-13077: 在四次握手中重装成对加密密钥（PTK-TK）
• CVE-2017-13078: 在四次握手中重装组密钥（GTK）
• CVE-2017-13079: 在四次握手中重装完整组密钥（IGTK）
• CVE-2017-13080: 在组密钥握手中重装组密钥（GTK）
• CVE-2017-13081: 在组密钥握手中重装完整组密钥（IGTK）
• CVE-2017-13082: 接受重新传输的快速BSS切换（FT）重新关联请求，重装成对加密密钥（PTK-TK）
• CVE-2017-13084: 在PeerKey握手中重装STK密钥
• CVE-2017-13086: 在TDLS（Tunneled Direct-Link Setup）握手中重装TDLS PeerKey（TPK）
• CVE-2017-13087: 处理无线网络管理（WNM）休眠模式响应帧时重装组密钥（GTK）
• CVE-2017-13088: 处理无线网络管理（WNM）休眠响应帧时重装完整组密钥（IGTK）

修复情况：

2017年10月2日，Linux的hostapd和wpa_supplicant 补丁已公布，详见 https://w1.fi/security/2017-1/。

2017年10月10日，微软在Windows 10 操作系统中发布补丁 KB4041676。

苹果在最新的 beta 版本iOS、macOS、 tvOS和 watchOS中修复了无线网络安全漏洞。

6.参考链接

[1] https://www.krackattacks.com/
[2] https://papers.mathyvanhoef.com/ccs2017.pdf
[3] https://zh.wikipedia.org/wiki/WPA

---

启明星辰积极防御实验室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术研究实验室之一，微软MAPP计划核心成员。截止目前，ADLab通过CVE发布Windows、Linux、Unix等操作系统安全或软件漏洞近400个，持续保持国际网络安全领域一流水准。实验室研究方向涵盖操作系统与应用系统安全研究、移动智能终端安全研究、物联网智能设备安全研究、Web安全研究、工控系统安全研究、云安全研究。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。

---