Erste Hersteller liefern Patches für WPA2-Schwachstelle KRACK aus
Auf die gestern bekanntgegeben ersten Informationen zu sicherheitsrelevanten Fehlern in dem bei WLAN genutzten WPA2-Protokoll haben die ersten Hersteller jetzt reagiert. Sie waren von den Sicherheitsforschern, die die daraus resultierende Möglichkeit zum Abhören von Datenverkehr in WLANs gemeldet hatten, offenbar schon vor der Veröffentlichung informiert worden.
Außerdem haben die Entdecker der Sicherheitslücke auf der von ihnen eingerichteten Website KrackAttacks.com inzwischen mehr Einzelheiten veröffentlicht. Demnach können die Fehler nur bei einem Handshake ausgenutzt werden, der von einem Client angestoßen wird. Damit sind ausschließlich Smartphones, Tablets und andere Geräte, als Einfallstor in das eigene WLAN-Netzwerk missbrauchbar.
Router und Access Points sind nur dann in Gefahr, wenn sie die Client-Funktion übernehmen. Das ist zum Beispiel der Fall, wenn sie als Repeater eingesetzt werden. Für eine realistische Attacke kommen Experten zufolge außerdem Windows und iOS nicht infrage. Eine weitere Angriffsmöglichkeit bieten dagegen die sogenannten Fast-Roaming-Funktionen, die auf dem Standard 802.11r basieren, sowie das Protokoll 802.11s.
AVM und Lancom zur KRACK-Lücke
Zahlreiche Software- und Hardware-Anbieter haben bereits Patches für als kritisch eingestuften Sicherheitslücken in WPA2 veröffentlicht oder zumindest angekündigt. Von den Hardwareherstellern teilten unter anderem die HPE-Sparte Aruba, Cisco, Intel, Netgear und MikroTik mit, ihnen seien die Schwachstellen bekannt und mit der Auslieferung von Patches begonnen. AVM erklärt in seinen Sicherheitshinweisen: “Für eine genauere Einschätzung müssen noch weitere Details bekannt werden. Falls notwendig wird AVM wie gewohnt ein Update bereitstellen.”
Mit einigen Schritten und kostenlosen Tools können sich Anwender effizient vor Angriffen in unsicheren WLANs schützen und Notebook, Smartphone und Tablets absichern. Die Kollegen der silicon.de-Schwestersite ZDNet.de erklären in ihrem Beitrag, wie das funktioniert.
Der deutsche Netzwerkanbieter Lancom betonte, dass bei seinen Produkten das problematische Protokoll 802.11r ab Werk deaktiviert und das ebenfalls angreifbare 802.11s gar nicht verfügbar ist. Die Behauptung, WPA2 sei gehackt, sei daher nicht ganz zutreffend. Für die WLAN-Produkte, die bei aktiviertem 802.11r sowie im Client-Modus anfällig sind, werde man dennoch bald ein Sicherheits-Update bereitstellen.
Patches für die KRACK-LÜcke von Microsoft, Google und Apple
Microsoft hat die für Windows benötigten Fixes bereist mit dem Oktober-Patchday ausgeliefert. Das hat der Konzern gegenüber The Verge bestätigt. In Hinblick auf die erst später geplante Offenlegung durch die Entdecker habe Microsoft die Schwachstellen in seinen Sicherheitsmeldungen allerdings nicht erwähnt.
Google hat angekündigt, im Lauf der kommenden Wochen einen Patch auszuliefern. Betroffen sind vor allem Googles Nexus- und Pixel-Smartphones sowie Android ab Version 6.0. Dadurch sind rund 50 Prozent aller weltweit aktiven Android-Geräte angreifbar.
Apple zufolge befinden sich Updates für iOS, MacOS, watchOS und tvOS, mit denen die KRACk-Lücke geschlossen werden soll, derzeit noch in einer Testphase. Die aktuelle Beta, die seit gestern Abend ausgeliefert wird, enthalte die Patches jedoch bereits.
Auch die ersten Linux-Anbieter haben begonnen, Updates zu verteilen. Dazu gehört etwa OpenBSD sowie offenbar auch Debian-basierte Linux-Distributionen.
Der KRACK-Angriff erfordert die Ausnutzung von bis zu zehn Schwachstellen. Damit ist es dann möglich, die Verschlüsselung eines WLAN-Netzes zu umgehen. Im Ergebnis können sich dann Nutzer ohne gültigen WPA2-Schlüssel erfolgreich bei einem WLAN-Netzwerk anmelden. Sie könnten dann den Datenverkehr abhören oder manipulieren. Letztlich handelt es sich um einen Man-in-the-Middle-Angriff auf den Client. Dafür müssen sich Angreifer allerdings in Reichweite des WLANs befinden. Aus der Ferne können die Schwachstellen nicht ausgenutzt werden.
Die Warnung des BSI , “WLAN-Netzwerke bis zur Verfügbarkeit von Sicherheits-Updates nicht für Online-Transaktionen wie Online Banking und Online Shopping oder zur Übertragung anderer sensitiver Daten zu nutzen” halten diverse Experten daher für übervorsichtig. G-Data bezeichnet sie “im Alltag als kaum relevant” und F-Secure weist darauf hin, dass es ausreicht, wenn ein Teil der Kommunikation – also entweder Client oder Router/Access Point – gepatcht wurde ist, also Endpunkt oder Access Point: “Sobald ein Endgerät im Netzwerk aktualisiert ist, kann es bei Problemen einen komplett neuen Key anfordern – eine Reinstallation ist damit unmöglich.”
Alle Details zu einem Angriff über die KRACK-Lücke werden die Entdecker erst am 1. November bei einem Vortrag auf der ACM Conference on Computer and Communications Security in Dallas verraten.Bis dahin kann nur spekuliert werden, was ein Angrifer tatsächlich für einen erfolgreichen Angriff benötigt. In einer FAQ-Liste zur KRACK-Lücke erklärt F-Secure jedoch, dass die Einstiegshürde offenbar niedrig zus ein scheint: “Neben dem passenden Programm dürfte eine WLAN-Karte sowie ein Linux-System ausreichen. KRACK wird daher in absehbarer Zeit im Arsenal jedes Hackers landen.”