Мэти Ванхоф (Mathy Vanhoef), автор атаки KRACK на беспроводные сети и 12 уязвимостей в стандартах IEEE 802.11, раскрыл сведения о новой уязвимости (CVE-2022-47522) в технологии буферизации пакетов Wi-Fi, затрагивающей различные устройства (Cisco, Ubiquiti) и операционные системы (Linux, FreeBSD, iOS, Android). Дополнительно открыт доступ к инструментарию для совершения атаки. Уязвимость, которая получила кодовое имя MacStealer, позволяет обойти шифрование в беспроводной сети и может быть использована для перехвата трафика изолированных клиентов.
Уязвимость затрагивает механизм формирования очередей для буферизации кадров перед отправкой получателям, а также управление контекстом защиты для помещённых в очередь кадров. В качестве причины появления уязвимости называется отсутствие в стандарте 802.11 явных предписаний по управлению контекстом защиты для буферизированных кадров и отсутствие защиты для флага power-save в заголовке кадра, при помощи которого атакующий может манипулировать помещением кадров в очередь.
Через манипуляцию кадрами для получателей, находящихся в спящем режиме (выставление флага power-save в заголовке), атакующий может добиться их буферизации и изменения контекста защиты для кадров, ожидающих помещения в очередь, что можно использовать для перехвата трафика клиента и перенаправления кадров из точки доступа на подконтрольное атакующим устройство без применения шифрования или с шифрованием нулевым ключом.
Возможность перенаправления кадров из очереди вызвана тем, что в беспроводном стеке аутентификация клиента и маршрутизация пакетов отделены друг от друга (для маршрутизации используется MAC-адрес).
Для перенаправления кадров на устройство атакующего используется трюк, связанный с периодическим отключением жертвы после отправки им запроса, и подключением устройства атакующего с MAC-адресом жертвы (пакеты, которые были адресованы жертве и застряли в очереди будут отправлены на устройство атакующего).
Атака может быть применена для перехвата трафика других пользователей в обход изоляции клиентов на уровне MAC, даже если клиентам запрещено взаимодействовать друг с другом. Для успешного совершения атаки злоумышленник должен иметь доступ к сети Wi-Fi, что на практике ограничивает уязвимость использованием для обхода изоляции клиентов на точке доступа (режим “AP isolation”) или обхода режима динамического инспектирования ARP (DAI, Dynamic ARP Inspection).
Например, уязвимость может применяться для атаки на пользователей корпоративных сетей, в которых пользователи отделены друг от друга или в которых используются протоколы WPA2 и WPA3 в режиме изоляции клиентов (используются отдельные SSID для гостевых систем или разные пароли (Multi-PSK)), а также для атаки на публичные точки доступа, защищённые при помощи технологии Passpoint (Hotspot 2.0) или использующие WPA3 SAE-PK. При этом атака не может применяться для устройств, разделённых при помощи VLAN (нельзя атаковать устройство в другом VLAN).