Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Schwachstelle im WPA2 Protokoll veröffentlicht

Mitglied: colinardo

colinardo (Level 5) - Jetzt verbinden

16.10.2017, aktualisiert 10:43 Uhr, 3032 Aufrufe, 10 Kommentare, 4 Danke

An alle Wireless User da draußen.
So ziemlich jeder AP ist von der Schwachstelle betroffen da die Schwachstelle das Protokoll selbst bzw. die Implementierung des Schlüsselaustauschs zwischen Client und AP betrifft.
Mögliche Folgen:
Traffic kann unverschlüsselt abgehört werden, Replay Attacken werden vereinfacht, und und und.

Severe flaw in WPA2 protocol leaves Wi-Fi traffic open to eavesdropping

Da die Informationen schon einige Wochen vorher an die Hersteller von Wifi-Routern und APs ging kann es sein das diese in einer aktuellen Firmware schon gefixt wurden.
Mikrotik z.B war mal wieder sehr schnell, mit den aktuellen Releases sind diese nicht von der Schwachstelle betroffen:
https://forum.mikrotik.com/viewtopic.php?f=21&t=126695

Die Sache ist ernst, also seht euch Zeitnah nach Firmware Updates für eure Geräte um.

Schöne Woche
@colinardo
Mitglied: Herbrich19
16.10.2017 um 21:03 Uhr
Hallo,

Betrifft es nur PSK oder auch EAP Radius Autentifizerungen (TLS)

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Mitglied: chgorges
16.10.2017 um 21:15 Uhr
WPA2 - Das betrifft alle Authentifizierungs-Standards.
Bitte warten ..
Mitglied: colinardo
16.10.2017, aktualisiert um 21:59 Uhr
Zitat von Herbrich19:
Betrifft es nur PSK oder auch EAP Radius Autentifizerungen (TLS)
Das sind nur die Authentifizierungspielarten, diese haben nichts mit der Protokoll-Schwäche zu tun, die ist bei beiden die selbe, bei beiden werden Session-Schlüssel regelmäßig zwischen Client und AP ausgetauscht, also sind sie natürlich auch betroffen.
Bitte warten ..
Mitglied: StefanKittel
18.10.2017 um 10:10 Uhr
Hallo,

mal ne Frage.
Wenn ich das richtig lese geht es darum die Kommunikation mitzuschneider und zu manipulieren.
Es wird explizit darauf hingewiesen, dass es kein Angriff gegen den Access Point ist und man auch nicht das WLAN-Kennwort auslesen kann.
Ein Update für den AP sei wünschenswert aber zweitrangig, da es sich um einen Angriff gegen den Client handelt.

Also, mein Fazit (soweit man aktuell weiß)
1) Die Daten die ein End-Gerät im WLAN empfängt und sendet können mitgelesen oder manipuliert werden wenn sie nicht zusätzlich verschlüsselt sind
2) Ein Updates von jedem WLAN tauglichen End-Gerät ist notwendig
3) Das WLAN-Kennwort ist "sicher"
4) Ein Zugriff/Einbruch in das WLAN ist nicht möglich
5) Wenn die Daten über das WLAN mit VPN oder HTTPs verschlüsselt sind ist die Gefahr überschaubar

Im Endeffekt bedeutet das doch, dass jedes WLAN sich auf der gleichen Sicherheitsstufe befindet als wenn ich das WLAN vom Bäcker verwendet. Da weiß man ja auch nicht ob dahinter ein Sniffer ist der alles mitliest.

Sehe ich das so richtig? Oder habe ich etwas übersehen?

Stefan
Bitte warten ..
Mitglied: colinardo
18.10.2017, aktualisiert um 10:26 Uhr
Servus Stefan.
Zitat von StefanKittel:
Wenn ich das richtig lese geht es darum die Kommunikation mitzuschneider und zu manipulieren.
Richtig, das ist immer das Ziel
Es wird explizit darauf hingewiesen, dass es kein Angriff gegen den Access Point ist und man auch nicht das WLAN-Kennwort auslesen kann.
Es ist eine Schwachstelle im Protokollstapel selbst also sind beide Partner sowohl AP als Client anfällig. Das Kennwort wird hier nicht benötigt da man mit alten bereits verwendeten Schlüsseln (nicht der WPA Key sondern die Session Keys) und einer Erweiterung den AP zwingen kann die Verschlüsselung für den jeweiligen Client aufzuheben.

Ein Update für den AP sei wünschenswert aber zweitrangig, da es sich um einen Angriff gegen den Client handelt.
Solange eine der Seiten verwundbar ist ist es einem Angreifer auch möglich Einfluss auf den Schlüsselaustausch zu nehmen. Es ist also mitnichten nur ein Client-Problem, beide Parteien nutzen das selbe Protokoll.

Also, mein Fazit (soweit man aktuell weiß)
1) Die Daten die ein End-Gerät im WLAN empfängt und sendet können mitgelesen oder manipuliert werden wenn sie nicht zusätzlich verschlüsselt sind
Richtig, ein tcpdump im Monitor-Mode inkl. ARP Spoofing scheidet dir alles mit was ein Client so treibt. Wenn dies nicht verschlüsselt ist sieht es der Angreifer im Klartext in seinem Wireshark.
2) Ein Updates von jedem WLAN tauglichen End-Gerät ist notwendig
Ja.
3) Das WLAN-Kennwort ist "sicher"
Jaein, erstens benötigt es der Angreifer nicht mehr, zweitens könnte er es mitschneiden wenn der User per http auf sein Routerinterface zugreift!
4) Ein Zugriff/Einbruch in das WLAN ist nicht möglich
Doch, das findet hier ja gerade statt.
5) Wenn die Daten über das WLAN mit VPN oder HTTPs verschlüsselt sind ist die Gefahr überschaubar
Ja, sofern man es komplett in der Übersicht hat. Es gibt Methoden den Client von https auf http runternzustufen, ohne das der User davon überhaupt etwas bemerkt. Also immer schön acht geben ob es sich tatsächlich um eine veschlüsselte Verbindung handelt.
VPN ist hier immerzu bevorzugen.
Im Endeffekt bedeutet das doch, dass jedes WLAN sich auf der gleichen Sicherheitsstufe befindet als wenn ich das WLAN vom Bäcker verwendet.
Was dein Bäcker außer Brötchen Backen treibt weiß ich nicht.
Da weiß man ja auch nicht ob dahinter ein Sniffer ist der alles mitliest.
Jedes fremde WLAN ist erst mal verdächtig, deshalb immer ein VPN verwenden und jeglichen Traffic darüber leiten wenn der kleinste Verdacht besteht.

Grüße Uwe
Bitte warten ..
Mitglied: keine-ahnung
18.10.2017 um 11:04 Uhr
Moin,
LANCOM hat dazu ein statement abgegeben:
Der Angriff zielt auf die WPA-Anmeldung und betrifft konkret 802.11r (Roaming-Beschleunigung), den Station-Mode (WLAN-Client-Modus, AutoWDS) sowie den Standard 802.11s. Er nutzt Ungenauigkeiten in der Protokollspezifikation aus und betrifft grundsätzlich alle Hersteller, die die entsprechenden Protokolle bzw. Betriebsarten unterstützen.
802.11s wird von LANCOM WLAN-Produkten nicht unterstützt. 802.11r sowie der Station-Mode sind in unseren Produkten standardmäßig > deaktiviert. Alle LANCOM Produkte, bei denen diese Parameter bzw. Betriebsarten nicht explizit aktiviert wurden, sind von Krack nicht betroffen.
Interne Tests haben jedoch ergeben, dass LANCOM WLAN-Geräte mit manuell bzw. nachträglich aktiviertem 802.11r potentiell anfällig für Krack sind. Ob die Schwachstelle auch im Station-Mode besteht, befindet sich derzeit noch in Prüfung.
Wir werden kurzfristig ein LCOS Sicherheitsupdate für alle WLAN-Geräte herausbringen, bei dem der dokumentierte Angriff auch bei aktiviertem 802.11r bzw. Station-Mode sicher verhindert wird.
Bis dahin empfehlen wir allen Kunden, 802.11r sowie den Station-Mode bei sicherheitskritischen Anwendungen nicht zu nutzen. Über ein Tool kann festgestellt werden, ob diese kundenseitig aktiviert wurden. Eine genaue Anleitung steht Ihnen im folgendem KnowledgeBase-Artikel zur Verfügung. Über die Verfügbarkeit des LCOS Updates informieren wir umgehend.
Bitte informieren Sie sich zudem beim jeweiligen Hersteller über die Verfügbarkeit von Updates für Ihre WLAN-Clients. Auch diese Geräte müssen aktualisiert werden.

LG, Thomas
Bitte warten ..
Mitglied: StefanKittel
18.10.2017, aktualisiert um 11:08 Uhr
Hallo,

danke für Deinen Input.

3+4) Ich meine damit:
Gehen wir davon aus, das auf dem Endgerät das Routerkennwort nicht in ein HTTP-Web-Interface eingebeben wird.
Der Angreife kann ein WLAN-End-Gerät mitschneiden oder manipulieren. Der Angreifer kann nicht direkt auf die Geräte hinter dem WLAN zugreifen (ausgehend dass zwischen LAN und WLAN keine Firewall ist wie bei einer einfachen FB).
Er kann ja nur die Kommunikation zwischen dem WLAN-End-Gerät und AP mitschneider oder manipulieren.

Mir geht es primär um WLANs wo Mobilgeräte eingesetzt werden.
Diese machen zu 99% Email (Exchange Active Sync verschlüsselt) und ein paar Webseiten.

Die einzige sichere Methode wäre
a) WLAN ausschalten
b) VPN für alles nutzen
Wobei die meisten kleinen Kunden für b keine Infrastruktur haben

Was machen wir eigentlich mit den Millionen Androidgeräten für die es keine Sicherheitsupdates der Hersteller gibt?
Die noch mit Android 4.x laufen? Oder ältere Iphones die IOS 11 nicht können/dürfen?
Die kann man doch nun alle wegwerfen...

Auch kann man vermutlich sehr viele WLAN APs jetzt wegwerfen.

Und wielange wissen unfreundlche Leute und Organisationen schon von dieser Sicherheitslücke?
WPA gibt es seit 2004. Es kann also durchaus sein, dass diese Lücke schon seit 13 Jahren aktiv unter Verschluss ausgenutzt wird.

Stefan
Bitte warten ..
Mitglied: colinardo
18.10.2017, aktualisiert um 12:13 Uhr
Zitat von StefanKittel:
3+4) Ich meine damit:
Gehen wir davon aus, das auf dem Endgerät das Routerkennwort nicht in ein HTTP-Web-Interface eingebeben wird.
Der Angreife kann ein WLAN-End-Gerät mitschneiden oder manipulieren. Der Angreifer kann nicht direkt auf die Geräte hinter dem WLAN zugreifen (ausgehend dass zwischen LAN und WLAN keine Firewall ist wie bei einer einfachen FB).
Doch kann er, MitM Angriffe auf andere Stationen sind damit kein Problem.
Er kann ja nur die Kommunikation zwischen dem WLAN-End-Gerät und AP mitschneider oder manipulieren.
Nein, er kann alle Stationen via ARP Spoofing angreifen und Ihren Traffic über seine Station leiten.
Bessere APs und Router bieten Funktionen und Mittel gegen ARP Spoofing, einfache Modelle wie Fritzbox und Co. sind dagegen nicht imun. Software am Client kann hier ebenfalls helfen.
Mir geht es primär um WLANs wo Mobilgeräte eingesetzt werden.
Diese machen zu 99% Email (Exchange Active Sync verschlüsselt) und ein paar Webseiten.
Android Phones sind besonders betroffen, hier können vielfach Dienste von https auf http gezwungen werden sofern sie sich nicht selbst dagegen schützen.
Die einzige sichere Methode wäre
a) WLAN ausschalten
b) VPN für alles nutzen
Wobei die meisten kleinen Kunden für b keine Infrastruktur haben
Jeder der zumindest eine Fritte zuhause stehen hat hat kinderleichte Mittel dazu.
Was machen wir eigentlich mit den Millionen Androidgeräten für die es keine Sicherheitsupdates der Hersteller gibt?

Die noch mit Android 4.x laufen? Oder ältere Iphones die IOS 11 nicht können/dürfen?
Die kann man doch nun alle wegwerfen...
Nicht unbedingt. Alternative Firmware (Lineage OS und Konsorten) sofern unterstützt sind hier vielfach eine Lösung.
Auch kann man vermutlich sehr viele WLAN APs jetzt wegwerfen.
Wer billig kauf kauft halt zweimal.
Und wielange wissen unfreundlche Leute und Organisationen schon von dieser Sicherheitslücke?
WPA gibt es seit 2004. Es kann also durchaus sein, dass diese Lücke schon seit 13 Jahren aktiv unter Verschluss ausgenutzt wird.
So spielt das Leben. Wenn sie jemand schon früh entdeckt hat und sie nie veröffentlicht hat kann das immer der Fall sein.
Was der Mensch entwickelt wird der Mensch irgendwann auch wieder knacken ist nur eine Frage der Zeit.

Empfehlung für die kühlen Wintertage:
https://www.kali.org/
Bitte warten ..
Mitglied: umount
24.11.2017 um 18:20 Uhr
Bezüglich WPA2 Lücke, habe ich bei Unitymedia mal wegen meiner Fritzbox 6490 nachgefragt. Diese läuft immer noch mit FritzOS 6.50, Update wird noch Entwickelt. Wenn ich die ganzen Lücken der vergangenheit Betrachte wird mir Schlecht.

Es gibt außerdem keine Möglichkeit die Box wenn diese vom Anbieter kommt Upzudaten.
Bitte warten ..
Mitglied: chgorges
24.11.2017 um 22:09 Uhr
Zitat von umount:

Bezüglich WPA2 Lücke, habe ich bei Unitymedia mal wegen meiner Fritzbox 6490 nachgefragt. Diese läuft immer noch mit FritzOS 6.50, Update wird > noch Entwickelt. Wenn ich die ganzen Lücken der vergangenheit Betrachte wird mir Schlecht.

Nochmal (obwohl es schon sehr oft durchgekaut wurde): AVM und andere Konsorten (z.B. Telekom) werden keine Updates für ihre Boxen entwickeln, weil sie es nicht brauchen, da die zwei betroffenen Standards 802.11r und 802.11s von den Home-/Consumer-Konsorten weder unterstützt werden, noch implementiert sind. Daher sind die Geräte nicht anfällig (auch wenn man das bis zum Erbrechen im WWW findet).

Lediglich die Repeater und PowerLine-Adapter von AVM bekommen die Updates.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

WPA2 und WLAN-Sicherheit: Direkter Angriff auf WLAN-Router

Information von magicteddyLAN, WAN, Wireless

Siehe Bericht auf Heise, WPA2 und WLAN-Sicherheit: Direkter Angriff auf WLAN-Router Laut Bericht wurde eine direkte Angriffsmöglichkeit auf verwundbare ...

Neue Wissensbeiträge
Webbrowser
Mozilla Firefox 77 verfügbar
Information von Frank vor 9 StundenWebbrowser

Mozilla hat Firefox Version 77 freigegeben. Neben Verbesserungen an "Pocket", einigen Sicherheitsupdates, einer bessere Übersicht für TLS-Zertifikate, wurde der ...

Informationsdienste

Beendet: Timo Wölken und Julia Reda reden jetzt live auf Twitch über Uploadfilter, Rezo, Trump und Twitter

Information von Frank vor 10 StundenInformationsdienste

Wer Interesse zum kommenden Uploadfilter, Rezo, Trump und Twitter hat, kann nun unter twitch.tv der Diskussion beitreten: 03.06.2020 ab ...

Windows 10
Windows2Go ist nun scheintot
Information von DerWoWusste vor 12 StundenWindows 10

Microsoft hat mit Win10 v2004 Windows to go entfernt (sprich: der eingebaute Wizard zur Erstellung wurde entfernt). Wer weiterhin ...

iOS
IOS iPadOS 13.5.1 erschienen
Information von sabines vor 19 StundeniOS

Recht kurz nach iOS 13.5.0 ist gestern iOS/iPadOS in der Version 13.5.1 für IPhone und IPad erschienen. Es schließt ...

Heiß diskutierte Inhalte
Informationsdienste
Die Zerstörung der Presse - Youtuber Rezo möchte Missstände in unserer Mediengesellschaft aufzeigen, um sie zu lösen
Information von FrankInformationsdienste61 Kommentare

Youtuber Rezo greift in seinem neuen Video den Boulevard an, warnt vor allem vor Verschwörungen und richtet einen Appell ...

Netzwerkgrundlagen
Um welches Kabel handelt es sich?
gelöst Frage von Frodo.FFNetzwerkgrundlagen20 Kommentare

Hallo liebe Gemeinde, im neu erworbenen Haus, knapp 20 Jahre alt, sind im Heizungskeller als auch in den Räumen ...

Microsoft Office
Exchange Kennwort geändert
gelöst Frage von jensgebkenMicrosoft Office20 Kommentare

Hallo Gemeinschaft, habe mein Exchange Kennwort geändert - wo kann ich diese Kennwortänderung bei Outlook eintragen - bei Kontoeinstellungen ...

LAN, WAN, Wireless
Mehrere SSIDs auf einem AP
gelöst Frage von yamaha0815LAN, WAN, Wireless16 Kommentare

Hallo zusammen, ich stoße im Moment mit den APs von Unifi/Ubiquity an Grenzen. Es geht um folgendes: In einem ...