Es gibt einen neuen Angriff auf WPA2: Key Reinstallation Attacks oder kurz KRACK. Das Besondere daran: Es ist der erste Angriff auf WPA2, der sich nicht gegen schwache Schlüssel richtet, sondern unabhängig davon funktioniert.\r\n

Der Angriff und die zugehörigen Schwachstellen wurden von Mathy Vanhoef entdeckt, der sie auf den kommenden Konferenzen Computer and Communications Security (CCS) (30. Oktober bis 3. November 2017) und Black Hat Europe 2017 (4. bis 7. Dezember 2017) genauer vorstellen wird. Das ausführliche Paper zur Schwachstelle hat er aber bereits veröffentlicht, mit seinem Supervisor Frank Piessens als Ehrenautor.

KRACK: worum geht es?

Mathy Vanhoef hat herausgefunden, dass der WPA2-Standard einen Designfehler enthält. Dadurch ist es möglich, die Verschlüsselung zu brechen.

Da der Fehler im Standard steckt, sind im Grunde alle WPA2-Implementierungen von verschiedenen Arten der Schwachstelle betroffen – jedenfalls solange sie sich an den Standard halten. Konkret hat Mathy Vanhoef festgestellt, dass Android, Linux, Apple, Windows, OpenBSD, MediaTek und Linksys sowie weitere von ihm nicht genannte Hersteller von Varianten des Angriffs betroffen sind.

Generell geht es bei einem KRACK-Angriff darum, das Opfer zur erneuten Installation eines bereits verwendeten Schlüssels zu bewegen und dadurch die Möglichkeit zu erhalten, die Verschlüsselung zu brechen. Besonders fatal ist das bei Android und Linux, da dort die Re-Installation eines nur aus Nullen bestehenden Schlüssels möglich ist. Aber darauf komme ich noch zurück.

Der Angriff im Überblick

Der Angriff erfolgt über den Handshake, mit dem Client und Access Point beim Verbindungsaufbau durch den Client den Schlüssel austauschen. Durch eine Manipulation und erneutes Einspielen von Handshake-Nachrichten ist es möglich, den Client zur erneuten Installation eines bereits verwendeten Schlüssels zu bringen.

Eigentlich sollte ein Schlüssel nur einmal installiert und verwendet werden, das wird vom WPA2-Protokoll aber nicht garantiert. Bei der Re-Installation werden zugehörige Werte wie z.B. der Nonce und der Replay Counter auf ihre Ausgangswerte zurückgesetzt.

Die erneute Verwendung des Nonce-Werts erlaubt Angriffe auf die Verschlüsselung, sodass Pakete erneut gesendet („Replay“), entschlüsselt und/oder gefälscht werden können. Der gleiche Angriff ist auch gegen andere Handshakes möglich wie z.B. den zum Austausch des Gruppen-Schlüssels, PeerKey, TDLS und die Fast BSS Transition.

Worst Case: Daten entschlüsseln…

Besonders gefährlich ist die Entschlüsselung von Daten. Die ist möglich, weil durch den Reset des Nonce bereits verwendete Nonce-Werte für die Verschlüsselung verwendet werden. Der Schlüsselstrom wiederholt sich also, und wenn damit Nachrichten mit bekannten Inhalt verschlüsselt werden, kann der Schlüssel ermittelt werden.

Auch wenn Pakete keinen bekannten Inhalt haben, ist ihre Entschlüsselung in bestimmten Fällen möglich. So kann z.B. englischer Text entschlüsselt werden. Man sollte also sicherheitshalber davon ausgehen, dass alle Pakete entschlüsselt werden können.

Es ist z.B. möglich, TCP-SYN-Pakete zu entschlüsseln und dadurch die TCP Sequenznummern eine Verbindung zu ermitteln. Damit kann die TCP-Verbindung dann gehijacked werden. Danach kann in unverschlüsselte HTTP-Verbindungen Schadcode eingeschleust werden, es sind also Drive-by-Infektionen möglich.

Wird für die Verschlüsselung WPA-TKIP oder GCMP an Stelle von AES-CCMP verwendet, erlauben die wiederverwendeten Nonce-Werte nicht nur die Entschlüsselung der Daten, sondern auch das Fälschen und Einschleusen von Paketen. Da GCMP den gleichen Authentifizierungsschlüssel für beide Kommunikationsrichtungen verwendet und der sich bei wiederverwendeten Nonce-Werten ermitteln lässt, ist dieses Protokoll besonders gefährdet.

Je nachdem, welcher Handshake angegriffen wird, können entweder vom Client an den AP oder vom AP an den Client gesendete Pakete entschlüsselt und möglicherweise gefälscht werden. Was in keinem Fall geht, ist das Ausspähen des WPA2-Passworts. Was das Ganze zwar nicht viel, aber doch immerhin ein bisschen weniger schlimm macht.

… aber keine zusätzlich Verschlüsselten

Das einzig Gute am Angriff auf die WPA2-Verschlüsselung: Sie richtet sich ausschließlich gegen die Verschlüsselung der WLAN-Verbindung. Wird über das WLAN verschlüsselt kommuniziert, z.B. über HTTPS auf Websites zugegriffen, kann diese Kommunikation nicht entschlüsselt werden.

Onlinebanking und viele andere gefährdete Dienste sind also durch deren eigene Verschlüsselung vor dem Angriff sicher. Gefährdet sind aber alle sensiblen Daten, die unverschlüsselt übertragen werden. Das kommt leider immer noch vor, z.B. beim Einloggen in Foren.

Android und Linux besonders schlimm betroffen

Besonders gefährdet sind Linux-Systeme, die Version 2.4 oder neuer des Standard-WiFi-Clients wpa_supplicant verwenden. Denn dann lässt sich ein komplett aus Nullen bestehender Schüssel installieren statt „nur“ eines bereits zuvor benutzten.

Android ab der Version 6.0 verwendet ebenfalls wpa_supplicant und ist dadurch ebenfalls betroffen. Mathy Vanhoef schätzt, dass ca. 50% aller eingesetzten Android-Geräte daher zur Zeit verwundbar sind.

Durch den komplett aus Nullen bestehenden Schlüssel ist das Abfangen und Manipulieren des Netzwerkverkehrs betroffener Geräte trivial.

CVE-IDs und CERT Vulnerability Note

Das US-CERT hat die Schwachstellen in der Vulnerability Note VU#228519 beschrieben und sammelt dort alle relevanten Informationen, z.B. zu betroffenen Systemen. Und das ist eine lange Liste!

Die Schwachstellen haben die folgenden CVE-IDs erhalten:

• CVE-2017-13077: Re-Installation des Pairwise Key (PTK-TK) im 4-Way Handshake
• CVE-2017-13078: Re-Installation des Gruppenschlüssels (GTK) im 4-Way Handshake
• CVE-2017-13079: Re-Installation des integrity Group Key (IGTK) im 4-Way Handshake
• CVE-2017-13080: Re-Installation des Gruppenschlüssels (GTK) im Group Key Handshake
• CVE-2017-13081: Re-Installation des Integrity Group Key (IGTK) im Group Key Handshake
• CVE-2017-13082: Akzeptieren eines erneut gesendeten Fast BSS Transition (FT) Reassociation Request und bei dessen Verarbeitung Re-Installation des Pairwise Key (PTK-TK)
• CVE-2017-13084: Re-Installation des STK Key im PeerKey Handshake
• CVE-2017-13086: Re-Installation des Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) Key im TDLS Handshake.
• CVE-2017-13087: Re-Installation des Gruppenschlüssels (GTK) beim Verarbeiten eines Wireless Network Management (WNM) Sleep Mode Response Frames
• CVE-2017-13088: Re-Iinstallation des Integrity Group Key (IGTK) beim Verarbeiten eines Wireless Network Management (WNM) Sleep Mode Response Frames

Updates sind möglich …

Die gute Nachricht: Es ist möglich, die Schwachstelle zu beseitigen bzw. die Angriffe zu verhindern. Es muss nur dafür gesorgt werden, dass Schlüssel nicht erneut verwendet werden.

Die für die Zertifizierung von WiFi-Geräten zuständige Wi-Fi Alliance hat einen Plan zur Beseitigung der Gefahr, der im Wesentlichen darauf hinausläuft, die Geräte explizit auf die Schwachstelle bzw. Angriffe zu testen und die Hersteller bei deren Verhinderung zu unterstützen. Dazu wurde u.a. ein Test-Tool veröffentlicht.

… und es gibt sie bereits

Da sich die Angriffe in erster Linie gegen Clients richten sind Updates dafür natürlich besonders wichtig. Wie sieht es damit aus?

• Android: Laut Medienberichten untersucht Google die Schwachstellen und bereitet dann Patches vor. Aber wir wissen ja wohl alle, wie mies es mit der Updateversorgung bei den meisten Android-Geräten aussieht, selbst wenn Google selbst Updates bereitstellt. Da dürfte oft ein Austausch des Geräts schneller zum Ziel führen als auf einen Patch zu warten.
• Apple: Apple hat die Schwachstelle in den aktuellen Beta-Versionen von iOS, macOS, tvOS und watchOS behoben, wie es mit den WLAN-Geräten und älteren Systemversionen aussieht, ist bisher unbekannt.
• *BSD: Updates für FreeBSD und OpenBSD wurden veröffentlicht, die für OpenBSD sogar vor Ablauf des Embargos (siehe vorletzter Punkt der FAQ)
• Linux: Patches stehen bereit, Updates gibt es z.B. für Debian, Fedora, RedHat und Ubuntu. In Vorbereitung sind sie z.B. für Gentoo und SUSE.
• Microsoft: Microsoft hat die Schwachstelle bereits am Oktober-Patchday behoben, das aber erst jetzt im Rahmen eine koordinieren Veröffentlichung angekündigt.

Auch für Router und andere Geräte gibt es bereits Updates bzw. sind sie in Entwicklung, z.B. für

• AVM: Die Schwachstelle wird untersucht, danach Updates veröffentlicht. Generell sieht man keine große Gefahr.
• DrayTek: Updates werden vorbereitet.
• Netgear: Für einige Geräte gibt es bereits Firmware-Updates, für andere sind sie noch in Entwicklung.
• Synology: Betroffen sind nur Geräte mit installiertem Wifi-Dongle (logisch, ohne WLAN-Zugang keine WLAN-basierten Angriffe), Updates werden vorbereitet.
• TP-Link: Die Schwachstelle wird untersucht, danach reagiert.
• Zyxel: Updates werden vorbereitet, je nach Gerät kann das aber bis Februar 2018 dauern.

Weitere Informationen dazu finden Sie in der Liste des US-CERT. Und selbst deren lange Liste wird nicht alle Hersteller und vor allem Vertreiber von WLAN-fähigen Geräten erfassen, dafür gibt es einfach zu viele.

Gefährlichkeit ist relativ

Wie gefährlich sind die Angriffe? Das kommt auf mehrere Faktoren an:

1. Der Angreifer muss sich in Funkreichweite des angegriffenen WLANs befinden. Wenn Sie allein auf einer einsamen Insel sitzen kann also eigentlich nichts passieren. Auf einer Konferenz oder an einem anderen öffentlichen Ort wie z.B. Flughafen oder Internetcafe dagegen dürfte die Gefahr eines Angriffs deutlich steigen. Und wie es mit gezielten Angriffen auf Unternehmen aussieht, kann jedes nur für sich entscheiden. Fakt ist: Wenn der Angreifer nah genug rankommt, kommt er auch rein. Jedenfalls in die WPA2-Verbindungen.
2. Gebrochen wird nur die WPA2-Verschlüsselung. Werden also z.B. Zugangsdaten im WLAN unverschlüsselt übertragen, können sie vom Angreifer ausgespäht werden. Wenn Sie im WLAN aber keine vertraulichen Daten unverschlüsselt übertragen, können auch keine ausgespäht werden.
   Genauso sieht es beim Einschleusen von Daten oder Code aus: Gefährdet sind nur unverschlüsselte Verbindungen. Von denen gibt es aber immer noch genug, um einen Angreifer ein Einfallstor zu bieten.
   Ihre persönliche Gefährdung hängt also stark davon ab, wie Sie das WLAN nutzen. So lange sie nur auf HTTPS-Websites surfen und E-Mails verschlüsselt mit dem Mailserver austauschen, besteht keine Gefahr. Aber jeder als Klartext übertragene Datenschnippsel kann ausgespäht oder manipuliert werden. Wie z.B. oft Druckjobs, Zugriff auf NAS, die Kommunikation der meisten IoT-Geräte, …
3. Der WPA2-Schlüssel kann nicht ausgespäht werden. Der Angreifer kann zwar übertragene Daten ausspähen oder manipulieren, erhält aber keinen direkten Zugang zum WLAN. Aber das ist i.A. auch gar nicht nötig, denn Schaden genug kann er auch ohne den anrichten.
4. Bisher sind keine Angriffe bekannt und keine Tools veröffentlicht. Bisher gibt es nur Mathy Vanhoefs Beschreibung der Schwachstellen. Er hat zwar Tools entwickelt, die aber noch nicht veröffentlicht. Und bisher sind auch keine Angriffe durch Dritte bekannt geworden, die die Angriffe unabhängig von ihm entdeckt haben könnten.
   Allerdings ist nun bekannt, dass diese Angriffe möglich sind, also wird eher früher als später auch irgendwer Tools dafür entwickeln und veröffentlichen. Und sicher werden weder Cyberkriminelle noch Geheimdienste zögern, diese Schwachstellen auszunutzen, wenn sie sich einen Vorteil davon versprechen.

Sie sollten veröffentlichte Updates also so schnell wie möglich installieren. Um auf Nummer Sicher zu gehen, sollten Sie bis dahin im WLAN besonders vorsichtig sein und keine sensiblen Daten unverschlüsselt übertragen. Nutzen Sie also z.B. im Web immer HTTPS. Auch ein VPN schützt vor den Angriffen.

Fazit

Bei der Bewertung von KRACK muss man m.E. zwischen normalen Benutzern und Unternehmen unterscheiden. Für Unternehmen könnte KRACK zum Problem werden, jedenfalls wenn übers WLAN vertrauliche Daten unverschlüsselt übertragen werden und ein Mitbewerber auf die Idee kommt, sich darin mal umzusehen,

Bei den normalen Benutzer sieht es weniger schlimm aus, denn Angriffe auf normale Benutzer dürften sich für die Kriminellen kaum lohnen. Da kommen sie mit übers Internet per Drive-by-Infektionen verbreiteter Schadschoftware leichter ans Ziel.

Sofern es leicht zu nutzende Tools gibt, könnten neugierige Mitmenschen schon eher ein Problem sein. Mal zu gucken, was nebenan im WLAN passiert, könnte für manchen interessant sein. Die Frage ist nur, ob er kriminell genug für einen Angriff ist. Wenn er das denn als kriminell ansieht, mit dem Unrechtsbewusstsein ist das ja so eine Sache.

Die wichtigsten Sachen im Web wie Onlinebanking, Onlineshopping und das Anmelden bei Social Networks erfolgen inzwischen alle über HTTPS und sind damit vor einem KRACK-Angriff sicher. Problematisch sind Drucker und NAS, auf die oft unverschlüsselt zugegriffen wird. Die dabei übertragenen Daten könnten in einem WLAN ausgespäht werden.

Das größte Problem sehe ich bei den IoT-Geräten. Nicht, weil es darauf bereits Angriffe gibt. Aber die könnten ja noch folgen. Und haben Sie für IoT-Geräte schon mal Firmware-Updates gesehen? Wenn, dann doch nur in homöopathischen Dosen. Normalerweise bleiben die Geräte bis an ihr Lebensende ungepatcht und damit über KRACK angreifbar. Das könnte sich in Zukunft noch als Problem erweisen.

Für Panik besteht kein Grund. Sicherheitshalber sollten Sie sich aber Gedanken darübermachen, was alles unverschlüsselt im lokalen Netz übertragen wird, und ob Sie dafür nicht eine Verschlüsselung nutzen können.

Wahrscheinlich hilft es, wenn Sie ihr WLAN gedanklich wie das Internet betrachten, solange Sie es nicht durch einen Patch abgesichert haben. Genau wie im Internet kann im ungepatchten WLAN alles belauscht und manipuliert werden, sofern es nicht eigenständig geschützt ist.