Security/Wireless: WPA2-KRACK-Leak

Wofür steht KRACK?

Die Abkürzung KRACK steht für Key Reinstallation Attack, was das Verfahren des Angriffs beschreibt.

Wie funktioniert der Angriff?

Wie einige von Ihnen vermutlich schon mitbekommen haben, ist jüngst eine schwerwiegende Sicherheitslücke in der Implementierung des WPA2-Standards bekannt geworden, die es Angreifern ermöglicht, den Encryption-Key für den Traffic​ innerhalb des 4-Way-Handshakes abzufangen, auszunullen und dadurch lesbar zu machen.

Der Angreifer positioniert sich dann als Man-in-the-Middle und kann (unverschlüsselten) Traffic mitlesen. Website-Traffic, der über HSTS und PFS abgesichert ist, kann vom Client dann aus Sicherheitsgründen nicht mehr aufgerufen werden.

In diesem Video wird demonstriert, wie ein solcher Angriff funktioniert.

Was muss getan werden, um Clients wieder abzusichern?

Abhilfe schafft ein schnelles Patchen der Clients und WLAN-Controller. Wichtiger als die WLAN-Controller und Fritzboxen dieser Welt zu aktualisieren ist es, die Clientbetriebssysteme gegen die Sicherheitslücke zu schützen. Wann jedoch entsprechende Patches erscheinen, hängt stark vom Hersteller ab.

Von den Herstellern Fortinet und Ubiquiti sind bereits Patches für die WLAN-Infrastruktur verfügbar. Weitere Hersteller arbeiten mit Hochdruck daran, Patches zu schreiben und zu testen. Der Security-Anbieter Sophos hat im folgenden KB-Artikel eine Stellungnahme veröffentlicht – Patches sucht man allerdings (Stand 17.10.17) noch vergeblich. Siehe https://community.sophos.com/kb/en-us/127658. Allerdings wird als Angriffsvektor hier wie so oft der Client fokussiert.

Clients sind im Fokus der Angreifer

Zudem sollten, sofern verfügbar, die Clients schnellstmöglich gepatcht werden, da sonst in Hotel-WLANs oder auf Messen noch einfacher Daten aus der Kommunikation abgefangen werden können als bisher bekannt. Für einzelne Android-Derivate gibt es bereits erste Patches. Apple hat mit iOS noch nicht nachgezogen. Hier gibt es bisher erst in der Beta die Erweiterung. Für  MacOS stehen ebenfalls noch Updates aus. Microsoft hat bereits Fixes über Microsoft Update verteilt. Die Fixes sind unter CVE-2017-13080 hier zu finden: Microsoft TechNet – Security. Betroffen sind folgende Betriebssysteme:

  • Windows 10 Knowledge Base:KB4042895
  • Windows 10 Version 1511 Knowledge Base:KB4041689
  • Windows 10 Version 1607, Windows Server 2016 Knowledge Base:KB4041691
  • Windows 10 Version 1703 Knowledge Base:KB4041676
  • Windows 7, Windows Server 2008 R2 Knowledge Base:KB4041681
  • Windows 8.1, Windows RT 8.1, Windows Server 2012 R2 Knowledge Base:KB4041693
  • Windows Server 2012 Knowledge Base:KB4041690

Nur ein Tropfen auf dem heißen Stein…

Viele IP-Kameras und moderne „vernetzte Haushaltsgeräte“ werden voraussichtlich allerdings lange ungepatcht bleiben, sofern der Anbieter jemals Patches anbietet. Um so wichtiger ist der richtige, sichere Aufbau von Netzwerken. Industrie 4.0 und Co. gehören nicht in das gleiche Netz, wie Office- und Entwicklungsclients und Server, sondern per Firewall und mindestens per VLANs auf Netzwerkebene getrennt. Wir unterstützen gerne bei Bedarf bei Planung und Realisierung solcher Umgebungen.

Wachsamkeit schützt

Es hilft ungemein, wenn Sie zwischendurch prüfen, ob die aufgerufene Website via HTTP oder HTTPS aufgerufen wurde. Sie erkennen es an dem Schlosssymbol in der Adressleiste Ihres Browsers. Wie oben genannt, ist nur der unverschlüsselte Verkehr innerhalb des Netzes direkt durch die Adressierung dieses Exploits angreifbar.

Dazu sei gesagt, dass sich ein Angreifer in Ihrer direkten Umgebung befinden muss, um einen solchen Angriff durchzuführen und Ihr WLAN-Verschlüsselungskey bzw. Ihre WLAN-Passphrase durch den Angreifer nicht über diesen Weg ausspioniert werden kann.

Betroffene CVE´s

Folgende CVE´s sind (mindestens) durch das Thema betroffen. Anhand der CVE´s, also bekannt gewordenen Sicherheitsrisiken, lassen sich auch Maßnahmen zur Absicherung treffen. Wenn Sie Unterstützung benötigen, wenden Sie sich gerne an uns.

  • CWE-323
  • CVE-2017-13077
  • CVE-2017-13078
  • CVE-2017-13079
  • CVE-2017-13080
  • CVE-2017-13081
  • CVE-2017-13082
  • CVE-2017-13083
  • CVE-2017-13084
  • CVE-2017-13085
  • CVE-2017-13086
  • CVE-2017-13087