WLAN-Sicherheitslücke Fragattack

Vor wenigen Tagen hat der IT-Sicherheitsexperte Mathy Vanhoef eine Vielzahl an Sicherheitslücken in den WLAN-Standards der IEEE aufgedeckt. Laut Vanhoef sind vermutlich nahezu alle WLAN-Geräte mindestens von einer dieser Sicherheitslücken betroffen. Er selbst hat die Schwachstellen an 75 unterschiedlichen Geräten getestet. Zusammengefasst werden sie unter dem Begriff Fragattack. Dieser hat seinen Ursprung in der Funktionsweise der Angriffe bzw. des hier missbräuchlich ausgenutzten Kommunikationsverfahrens im IEEE 802.11-Standard, dem Fragmentieren der Anfragen.

Funktionsweise und betroffene Geräte

Die Sicherheitslücken betreffen alle WLAN-Sicherheitsstandards einschließlich des relativ jungen WPA3-Standards. Ermöglicht werden diese Exploits durch die Funktionsweise von WPA:

  • Anfragen können in mehrere Datenpakete aufgeteilt (fragmentiert) und dann beim Empfänger wieder zusammengefügt werden. Dieses Protokoll-Design ermöglicht es Hackern, manipulierte Authentifizierungsanfragen an das Netzwerk zu stellen.
  • Dabei entspricht nur das erste Paket einer echten Anfrage, während die darauffolgenden Pakete manipulierte Daten enthalten. Bei dem Zusammenbau dieser Datenpakete erkennt das Netzwerk die Zugehörigkeit dieser Teilpakete. Dadurch kann ein Angreifer ohne Kenntnis des WLAN-Passwortes oder Entschlüsselung manipulierte Daten in das Netzwerk schleusen.
  • Diese manipulierte Daten können dann eingesetzt werden, um beispielsweise Ports für versteckte externe Verbindungen zu öffnen oder unverschlüsselten Datenverkehr abzufangen bzw. zu manipulieren.

Vanhoef hat vor der öffentlichen Enthüllung dieser Designschwäche mit Hardwareentwicklern neun Monate im Voraus zusammengearbeitet, um diese Exploits zu beheben. Die daraus resultierende Patches sollen die Sicherheitslücken beheben, einige sind bereits seit März veröffentlicht. Problematisch sind jedoch die Netzwerkteilnehmer, die keine bzw. nur sporadische Sicherheitsupdates bekommen, wie etwa IoT-Geräte (z.B. Smart-Home Geräte). Die Hersteller raten zu einer kurzfristigen Aktualisierung der Firmware aller Geräte. Zudem sollte möglichst unverschlüsselter Datenverkehr in WLAN-Netzen vermieden oder administrativ unterbunden werden, sofern möglich.

Pikant ist zudem, dass gleichermaßen PSK/SAE- wie auch Enterprise-Authentifizierung der Geräte von den Schwachstellen betroffen sind. Viele sonst bekanntgewordene Schwachstellen im WLAN-Umfeld betrafen meist die eher unsicheren PSK-/SAE-Authentfiizierung über einen gemeinsamen Netzwerkschlüssel aller mit dem WLAN verbundenen Geräte, wie man es von zuhause kennt. Im Fall dieser Schwachstelle schützt die Authentifizierung via IEEE 802.1x daher Geräte nicht erheblich besser, als in vielen anderen Fällen.

Weiterführende Informationen zur Funktionsweise finden sich auf der von Vanhoef veröffentlichen Website (https://www.fragattacks.com/) und vor allem in einer seiner Präsentationen (Siehe Link), wo die Schwachstellen genau aufgezeigt werden.

Wie kam es dazu?

Im IEEE-Standard 802.11 (Abschnitt 10.6) ist das Fragmentieren der Anfragen beschrieben. Es wird nicht vor der Manipulation gewarnt und eine Konformität erfordert keine Überprüfung der erneut zusammengesetzten Pakete nach der Übertragung von Fragmenten.

"If security encapsulation has been applied to the fragment, it shall be deencapsulated and decrypted before the fragment is used for defragmentation of the MSDU or MMPDU."

CVE-Codes & BSI-Mitteilungen zu FragAttacks

Das BSI hat eine Warnung zu der Schwachstelle veröffentlicht, die hier (Link zur BSI-Warnung) abgerufen werden kann.

Liste der CVE-Codes zu FragAttacks:

  • CVE-2020-24588: Aggregation attack (accepting non-SPP A-MSDU frames)
  • CVE-2020-24587: Mixed key attack (reassembling fragments encrypted under different keys)
  • CVE-2020-24586: Fragment cache attack (not clearing fragments from memory when (re)connecting to a network)
  • CVE-2020-26145: Accepting plaintext broadcast fragments as full frames (in an encrypted network)
  • CVE-2020-26144: Accepting plaintext A-MSDU frames that start with an RFC1042 header with EtherType EAPOL (in an encrypted network)
  • CVE-2020-26140: Accepting plaintext data frames in a protected network
  • CVE-2020-26143: Accepting fragmented plaintext data frames in a protected network
  • CVE-2020-26139: Forwarding EAPOL frames even though the sender is not yet authenticated (should only affect APs)
  • CVE-2020-26146: Reassembling encrypted fragments with non-consecutive packet numbers
  • CVE-2020-26147: Reassembling mixed encrypted/plaintext fragments
  • CVE-2020-26142: Processing fragmented frames as full frames
  • CVE-2020-26141: Not verifying the TKIP MIC of fragmented frames

Was kann ich tun, um meine Geräte zu schützen?

In erster Linie sollte man sich ein paar Grundsätze wieder bewusst machen und zur Gewohnheit machen:

  • Regelmäßige Software- und Firmwareupdates auf allen Geräten einspielen.
  • Wo möglich aus Gründen der Sicherheit und Stabilität das Patchkabel dem WLAN bei sicherheitskritischer Kommunikation vorziehen.
  • Möglichst auf verschlüsselte Kommunikation achten (https:// in der Browserzeile). Hilfreich ist hier auch das Browserplugin https-everywhere (siehe Link) , was jede Browserkommunikation zu verschlüsseltem https zwingt.

Sollten Sie Unterstützung bei der Aktualisierung Ihrer Geräte benötigen, oder eine Überprüfung auf die Schwachstelle wünschen, wenden SIe sich gerne vertrauensvoll an uns.

WLAN-Ausleuchtung mit michael wessel

Um eine nachhaltige, kosteneffiziente und der Anforderung entsprechende WLAN-Abdeckung zu erreichen, sind einige Parameter zu bedenken. Wir geben hier einen kurzen Einblick in die Welt der WLAN-Planung. Sprechen Sie uns gerne an, wenn Sie ein neues Gebäude oder einen Ausbau der Infrastruktur planen oder vielleicht einfach die Störeinflüsse in Ihrer Umgebung ausfindig machen wollen. Wenn Sie eine Bestandsaufnahme Ihrer Wireless-Infrastruktur wünschen, ist eine WLAN-Ausleuchtung auch ein erster, richtiger Schritt, um Sie und Ihr Unternehmen weiter voranzubringen.

Continue reading „WLAN-Ausleuchtung mit michael wessel“

Networking – Mit Sicherheit im Access-Layer

Natürlich sollte man aus Sicherheitsgründen einige Grundregeln beim Einrichten von Switchen beachten. Im Regelfall stehen Core- und Distribution-Switche in zutrittsgesicherten Räumen. Switche auf Access-Ebene hingegen stehen leider viel zu oft offen für Mitarbeiter und teils sogar Unternehmensfremde frei zugänglich in Abstellkammern, Büros oder Fluren.

Wenn die Räumlichkeiten einem die Wahl lassen, ob ein abgeschlossener Raum oder der Flur als Standort für einen Access-Switch dienen kann, ist stets der abschließbare Raum mit entsprechend wenig Leuten, die Zutritt zu diesem haben, zu empfehlen. Zusätzlich sollte auf ausreichende Belüftung geachtet werden, damit die Switche nicht laufend den Hitzetod sterben.

Zudem kann man auf Switchebene nicht genutzte Ports administrativ deaktivieren, sodass zwar ein Kabel gesteckt werden könnte, aber keine Pakete über den Port fließen und somit das Netz lahmlegen würden. In manchen Szenarien machen Funktionen wie Port-Security Sinn, mit der man den Zugang am Port auf L2-Ebene begrenzen kann; oft allerdings würde die Ersteinrichtung und die Verwaltung einen enormen Mehraufwand bedeuten, der nicht immer gerechtfertigt ist. Steht der Switch in einem abgeschlossenen, nicht frei zugänglichen Raum, kann darauf im Zweifel auch verzichtet werden. Ansonsten kann es schnell dazu kommen, dass ein Anwender ein loses Netzwerk-Kabel findet und es unbedacht mit beiden Steckern in den Switch steckt. Das hat dann zur Folge, dass man entweder ineinanderlaufende VLANs – mit vielleicht zwei DHCP-Servern in einem logischen Netz –  oder sogar einen Loop in einem Netzwerk hat, der in komplexen Netzen oft schwer zu identifizieren ist, sich sehr negativ auf die Netzwerkperformance auswirkt und ganze Netzwerke – egal, wie performant sie ausgelegt sind, zum Zusammenbruch bringen kann.

Eine weitere Fehlerquelle im Netz kann ein falsch konfiguriertes Spanning-Tree-Protokoll, kurz STP sein. Sind die Prioritäten falsch gesetzt, kann es vorkommen, dass immer unterschiedliche statt der gewollten Ports geblockt werden und es laufend zu einer Neuberechnung des STP-Trees kommt.

Roaming im Wireless LAN

Wenn die Entscheidung getroffen wird, ein unternehmensweites Wireless LAN einzuführen, stellen sich viele Fragen. Neben den allgemein bekannten und in aller Munde verbreiteten Parametern wie dem maximalen Datendurchsatz, unterschiedlichen W-LAN-Standards und dem möglichst performanten Uplink gibt es zusätzlich weitere Rahmenbedingungen bei der Planung und Umsetzung zu beachten. Teils kann die Umgebung optimiert werden, indem beispielsweise ein Access Point oder Wände anders positioniert werden, teils gibt es allerdings auch nicht-beeinflussbare Faktoren. Unternehmensweite W-LAN-Netze werden mittlerweile häufig über ein relativ großes Areal gespannt, sodass teils sogar Wetterschwankungen unterschiedliche Auswirkungen hervorrufen können.

Eine besonders große Herausforderung bei verbindungskritischen Anwendungen, wie Voice-over-WLAN oder Video-Konferenzen über Tablets und Co. stellt das Roaming innerhalb des Campusnetzes dar. Im Normalfall entscheidet der Client, nicht der Access Point, wann eine bestehende Verbindung unterbrochen wird, um eine stabilere Verbindung mit einem Access Point mit eventuell einer höheren Datenrate aufzubauen. Dabei wird allerdings je nach Chipsatz und Betriebssystem oft eine Verbindung aufrecht erhalten, obwohl bereits eine bessere Verbindungsmöglichkeit in Reichweite ist. So kann es unter Anderem passieren, dass nicht nur während der Bewegung auf dem Campus ein Access Point mit erheblich schwächerem Signal und einem deutlich niedrigeren Datendurchsatz vom Client gewählt wird, sondern ebenso im statischen Betrieb kein Schwenk stattfindet. Hatte man beispielsweise das Notebook im Konferenzraum im 1. OG mit dem W-LAN verbunden, das Notebook auf dem Weg zurück an den Arbeitsplatz zugeklappt und in den Standby oder Ruhemodus geschickt, bevor man im Erdgeschoss am Arbeitsplatz wieder seine Arbeit aufnehmen möchte, kann es je nach Chipsatz und Betriebssystem dazu kommen, dass das Notebook sich erneut mit dem Access Point im 1. OG verbindet, solange die Signalstärke für einen Datenaustausch ausreicht. Das kann sogar auch wenn der Access Point im Erdgeschoss nur 5m Luftlinie entfernt montiert ist noch vorkommen. Diesem „Zufallsverbinden“ kann man beim Einsatz unterschiedlicher Devices nur mit einem controllerbasierten Roaming entgegenwirken.