Schwachstelle im WPA2 Protokoll veröffentlicht
An alle Wireless User da draußen.
So ziemlich jeder AP ist von der Schwachstelle betroffen da die Schwachstelle das Protokoll selbst bzw. die Implementierung des Schlüsselaustauschs zwischen Client und AP betrifft.
Mögliche Folgen:
Traffic kann unverschlüsselt abgehört werden, Replay Attacken werden vereinfacht, und und und.
Severe flaw in WPA2 protocol leaves Wi-Fi traffic open to eavesdropping
Da die Informationen schon einige Wochen vorher an die Hersteller von Wifi-Routern und APs ging kann es sein das diese in einer aktuellen Firmware schon gefixt wurden.
Mikrotik z.B war mal wieder sehr schnell, mit den aktuellen Releases sind diese nicht von der Schwachstelle betroffen:
https://forum.mikrotik.com/viewtopic.php?f=21&t=126695
Die Sache ist ernst, also seht euch Zeitnah nach Firmware Updates für eure Geräte um.
Schöne Woche
@colinardo
So ziemlich jeder AP ist von der Schwachstelle betroffen da die Schwachstelle das Protokoll selbst bzw. die Implementierung des Schlüsselaustauschs zwischen Client und AP betrifft.
Mögliche Folgen:
Traffic kann unverschlüsselt abgehört werden, Replay Attacken werden vereinfacht, und und und.
Severe flaw in WPA2 protocol leaves Wi-Fi traffic open to eavesdropping
Da die Informationen schon einige Wochen vorher an die Hersteller von Wifi-Routern und APs ging kann es sein das diese in einer aktuellen Firmware schon gefixt wurden.
Mikrotik z.B war mal wieder sehr schnell, mit den aktuellen Releases sind diese nicht von der Schwachstelle betroffen:
https://forum.mikrotik.com/viewtopic.php?f=21&t=126695
Die Sache ist ernst, also seht euch Zeitnah nach Firmware Updates für eure Geräte um.
Schöne Woche
@colinardo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 351830
Url: https://administrator.de/knowledge/schwachstelle-im-wpa2-protokoll-veroeffentlicht-351830.html
Ausgedruckt am: 24.12.2024 um 14:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
mal ne Frage.
Wenn ich das richtig lese geht es darum die Kommunikation mitzuschneider und zu manipulieren.
Es wird explizit darauf hingewiesen, dass es kein Angriff gegen den Access Point ist und man auch nicht das WLAN-Kennwort auslesen kann.
Ein Update für den AP sei wünschenswert aber zweitrangig, da es sich um einen Angriff gegen den Client handelt.
Also, mein Fazit (soweit man aktuell weiß)
1) Die Daten die ein End-Gerät im WLAN empfängt und sendet können mitgelesen oder manipuliert werden wenn sie nicht zusätzlich verschlüsselt sind
2) Ein Updates von jedem WLAN tauglichen End-Gerät ist notwendig
3) Das WLAN-Kennwort ist "sicher"
4) Ein Zugriff/Einbruch in das WLAN ist nicht möglich
5) Wenn die Daten über das WLAN mit VPN oder HTTPs verschlüsselt sind ist die Gefahr überschaubar
Im Endeffekt bedeutet das doch, dass jedes WLAN sich auf der gleichen Sicherheitsstufe befindet als wenn ich das WLAN vom Bäcker verwendet. Da weiß man ja auch nicht ob dahinter ein Sniffer ist der alles mitliest.
Sehe ich das so richtig? Oder habe ich etwas übersehen?
Stefan
mal ne Frage.
Wenn ich das richtig lese geht es darum die Kommunikation mitzuschneider und zu manipulieren.
Es wird explizit darauf hingewiesen, dass es kein Angriff gegen den Access Point ist und man auch nicht das WLAN-Kennwort auslesen kann.
Ein Update für den AP sei wünschenswert aber zweitrangig, da es sich um einen Angriff gegen den Client handelt.
Also, mein Fazit (soweit man aktuell weiß)
1) Die Daten die ein End-Gerät im WLAN empfängt und sendet können mitgelesen oder manipuliert werden wenn sie nicht zusätzlich verschlüsselt sind
2) Ein Updates von jedem WLAN tauglichen End-Gerät ist notwendig
3) Das WLAN-Kennwort ist "sicher"
4) Ein Zugriff/Einbruch in das WLAN ist nicht möglich
5) Wenn die Daten über das WLAN mit VPN oder HTTPs verschlüsselt sind ist die Gefahr überschaubar
Im Endeffekt bedeutet das doch, dass jedes WLAN sich auf der gleichen Sicherheitsstufe befindet als wenn ich das WLAN vom Bäcker verwendet. Da weiß man ja auch nicht ob dahinter ein Sniffer ist der alles mitliest.
Sehe ich das so richtig? Oder habe ich etwas übersehen?
Stefan
Moin,
LANCOM hat dazu ein statement abgegeben:
LG, Thomas
LANCOM hat dazu ein statement abgegeben:
Der Angriff zielt auf die WPA-Anmeldung und betrifft konkret 802.11r (Roaming-Beschleunigung), den Station-Mode (WLAN-Client-Modus, AutoWDS) sowie den Standard 802.11s. Er nutzt Ungenauigkeiten in der Protokollspezifikation aus und betrifft grundsätzlich alle Hersteller, die die entsprechenden Protokolle bzw. Betriebsarten unterstützen.
802.11s wird von LANCOM WLAN-Produkten nicht unterstützt. 802.11r sowie der Station-Mode sind in unseren Produkten standardmäßig > deaktiviert. Alle LANCOM Produkte, bei denen diese Parameter bzw. Betriebsarten nicht explizit aktiviert wurden, sind von Krack nicht betroffen.
Interne Tests haben jedoch ergeben, dass LANCOM WLAN-Geräte mit manuell bzw. nachträglich aktiviertem 802.11r potentiell anfällig für Krack sind. Ob die Schwachstelle auch im Station-Mode besteht, befindet sich derzeit noch in Prüfung.
Wir werden kurzfristig ein LCOS Sicherheitsupdate für alle WLAN-Geräte herausbringen, bei dem der dokumentierte Angriff auch bei aktiviertem 802.11r bzw. Station-Mode sicher verhindert wird.
Bis dahin empfehlen wir allen Kunden, 802.11r sowie den Station-Mode bei sicherheitskritischen Anwendungen nicht zu nutzen. Über ein Tool kann festgestellt werden, ob diese kundenseitig aktiviert wurden. Eine genaue Anleitung steht Ihnen im folgendem KnowledgeBase-Artikel zur Verfügung. Über die Verfügbarkeit des LCOS Updates informieren wir umgehend.
Bitte informieren Sie sich zudem beim jeweiligen Hersteller über die Verfügbarkeit von Updates für Ihre WLAN-Clients. Auch diese Geräte müssen aktualisiert werden.
802.11s wird von LANCOM WLAN-Produkten nicht unterstützt. 802.11r sowie der Station-Mode sind in unseren Produkten standardmäßig > deaktiviert. Alle LANCOM Produkte, bei denen diese Parameter bzw. Betriebsarten nicht explizit aktiviert wurden, sind von Krack nicht betroffen.
Interne Tests haben jedoch ergeben, dass LANCOM WLAN-Geräte mit manuell bzw. nachträglich aktiviertem 802.11r potentiell anfällig für Krack sind. Ob die Schwachstelle auch im Station-Mode besteht, befindet sich derzeit noch in Prüfung.
Wir werden kurzfristig ein LCOS Sicherheitsupdate für alle WLAN-Geräte herausbringen, bei dem der dokumentierte Angriff auch bei aktiviertem 802.11r bzw. Station-Mode sicher verhindert wird.
Bis dahin empfehlen wir allen Kunden, 802.11r sowie den Station-Mode bei sicherheitskritischen Anwendungen nicht zu nutzen. Über ein Tool kann festgestellt werden, ob diese kundenseitig aktiviert wurden. Eine genaue Anleitung steht Ihnen im folgendem KnowledgeBase-Artikel zur Verfügung. Über die Verfügbarkeit des LCOS Updates informieren wir umgehend.
Bitte informieren Sie sich zudem beim jeweiligen Hersteller über die Verfügbarkeit von Updates für Ihre WLAN-Clients. Auch diese Geräte müssen aktualisiert werden.
LG, Thomas
Hallo,
danke für Deinen Input.
3+4) Ich meine damit:
Gehen wir davon aus, das auf dem Endgerät das Routerkennwort nicht in ein HTTP-Web-Interface eingebeben wird.
Der Angreife kann ein WLAN-End-Gerät mitschneiden oder manipulieren. Der Angreifer kann nicht direkt auf die Geräte hinter dem WLAN zugreifen (ausgehend dass zwischen LAN und WLAN keine Firewall ist wie bei einer einfachen FB).
Er kann ja nur die Kommunikation zwischen dem WLAN-End-Gerät und AP mitschneider oder manipulieren.
Mir geht es primär um WLANs wo Mobilgeräte eingesetzt werden.
Diese machen zu 99% Email (Exchange Active Sync verschlüsselt) und ein paar Webseiten.
Die einzige sichere Methode wäre
a) WLAN ausschalten
b) VPN für alles nutzen
Wobei die meisten kleinen Kunden für b keine Infrastruktur haben
Was machen wir eigentlich mit den Millionen Androidgeräten für die es keine Sicherheitsupdates der Hersteller gibt?
Die noch mit Android 4.x laufen? Oder ältere Iphones die IOS 11 nicht können/dürfen?
Die kann man doch nun alle wegwerfen...
Auch kann man vermutlich sehr viele WLAN APs jetzt wegwerfen.
Und wielange wissen unfreundlche Leute und Organisationen schon von dieser Sicherheitslücke?
WPA gibt es seit 2004. Es kann also durchaus sein, dass diese Lücke schon seit 13 Jahren aktiv unter Verschluss ausgenutzt wird.
Stefan
danke für Deinen Input.
3+4) Ich meine damit:
Gehen wir davon aus, das auf dem Endgerät das Routerkennwort nicht in ein HTTP-Web-Interface eingebeben wird.
Der Angreife kann ein WLAN-End-Gerät mitschneiden oder manipulieren. Der Angreifer kann nicht direkt auf die Geräte hinter dem WLAN zugreifen (ausgehend dass zwischen LAN und WLAN keine Firewall ist wie bei einer einfachen FB).
Er kann ja nur die Kommunikation zwischen dem WLAN-End-Gerät und AP mitschneider oder manipulieren.
Mir geht es primär um WLANs wo Mobilgeräte eingesetzt werden.
Diese machen zu 99% Email (Exchange Active Sync verschlüsselt) und ein paar Webseiten.
Die einzige sichere Methode wäre
a) WLAN ausschalten
b) VPN für alles nutzen
Wobei die meisten kleinen Kunden für b keine Infrastruktur haben
Was machen wir eigentlich mit den Millionen Androidgeräten für die es keine Sicherheitsupdates der Hersteller gibt?
Die noch mit Android 4.x laufen? Oder ältere Iphones die IOS 11 nicht können/dürfen?
Die kann man doch nun alle wegwerfen...
Auch kann man vermutlich sehr viele WLAN APs jetzt wegwerfen.
Und wielange wissen unfreundlche Leute und Organisationen schon von dieser Sicherheitslücke?
WPA gibt es seit 2004. Es kann also durchaus sein, dass diese Lücke schon seit 13 Jahren aktiv unter Verschluss ausgenutzt wird.
Stefan
Bezüglich WPA2 Lücke, habe ich bei Unitymedia mal wegen meiner Fritzbox 6490 nachgefragt. Diese läuft immer noch mit FritzOS 6.50, Update wird noch Entwickelt. Wenn ich die ganzen Lücken der vergangenheit Betrachte wird mir Schlecht.
Es gibt außerdem keine Möglichkeit die Box wenn diese vom Anbieter kommt Upzudaten.
Es gibt außerdem keine Möglichkeit die Box wenn diese vom Anbieter kommt Upzudaten.
Zitat von @umount:
Bezüglich WPA2 Lücke, habe ich bei Unitymedia mal wegen meiner Fritzbox 6490 nachgefragt. Diese läuft immer noch mit FritzOS 6.50, Update wird > noch Entwickelt. Wenn ich die ganzen Lücken der vergangenheit Betrachte wird mir Schlecht.
Bezüglich WPA2 Lücke, habe ich bei Unitymedia mal wegen meiner Fritzbox 6490 nachgefragt. Diese läuft immer noch mit FritzOS 6.50, Update wird > noch Entwickelt. Wenn ich die ganzen Lücken der vergangenheit Betrachte wird mir Schlecht.
Nochmal (obwohl es schon sehr oft durchgekaut wurde): AVM und andere Konsorten (z.B. Telekom) werden keine Updates für ihre Boxen entwickeln, weil sie es nicht brauchen, da die zwei betroffenen Standards 802.11r und 802.11s von den Home-/Consumer-Konsorten weder unterstützt werden, noch implementiert sind. Daher sind die Geräte nicht anfällig (auch wenn man das bis zum Erbrechen im WWW findet).
Lediglich die Repeater und PowerLine-Adapter von AVM bekommen die Updates.