FragAttacks: Neue Angriffe gefährden nahezu alle WLAN-Geräte
Die Behandlung von speziellen WLAN-Paket-Formaten bereitet vielen Geräten Probleme, die Sicherheitslücken öffnen.
Security Von
- Jürgen Schmidt
Die WLAN-Standards sehen vor, dass Frames zu größeren Einheiten zusammengefasst oder in kleinere Stück aufgeteilt werden. Diese Funktionen enthalten eine ganze Reihe von Sicherheitslücken, die zum Teil auf Design-Probleme, zum Teil aber auch auf Fehler in der Umsetzung zurückzuführen sind. Laut Mathy Vanhoef, dem Entdecker der Lücke, sieht es so aus, als seien so gut wie alle Geräte mit WLAN von mindestens einem der Probleme betroffen.
Die Lücken treffen alle WLAN-Standards, einschließlich WPA3. Um sie auszunutzen, muss sich ein Angreifer in Funkreichweite befinden. Dann kann er beispielsweise eigene Pakete in eigentlich gesicherte Funknetze einschleusen. So kann er beispielsweise unzureichend gesicherte IoT-Devices im Funknetz attackieren; Vanhoef demonstriert dies, indem er einen vernetzten Stromstecker aus- und anschaltet. Oder er könnte Löcher durch eine NAT-Firewall bohren, um wie im Video demonstriert, ein ungepatchtes Windows-7-System zu kapern.
Patches teilweise schon da
Grund zur Panik besteht jedoch nicht. Wie der Entdecker selbst erklärt, sind die meisten Lücken schwer auszunutzen. Dazu gehören insbesondere die Design-Probleme, für die fast alle Geräte in der einen oder anderen Form anfällig sind. Am ernstesten seien noch die gefundenen Implementierungsfehler, die teilweise trivial missbraucht werden könnten. Allerdings seien die dafür anfälligen Geräte nicht sonderlich weit verbreitet. Fritzbox-Hersteller AVM lehnt sich gar mit einer weitgehenden Entwarnung aus dem Fenster: "Praktische Auswirkungen von FragAttacks sind nach aktuellem Kenntnisstand unwahrscheinlich" heißt es in einer ersten Erklärung von AVM. Die zugehörigen Common Vulnerability Enumerators (CVE) sind im mittleren Bereich zwischen 4,8 und 6,5 angesiedelt.
Lesen Sie auch
Die gute Nachricht ist, dass Vanhoef in einem 9-monatigen Coordinated-Disclosure-Prozess die involvierten Hersteller und Institutionen vorab informiert hat, sodass es für viele Produkte bereits Patches gibt. Teilweise haben die Hersteller diese bereits in den letzten Monaten eingebaut beziehungsweise verteilt. Das größte Problem dürften Geräte darstellen, die zwar WLAN benutzen, aber keine Sicherheits-Updates erhalten. Also insbesondere IoT-Devices und Systeme, die der Hersteller nicht mehr unterstützt. Eine Übersicht der bereits verfügbaren Patches beziehungsweise wo noch welche fehlen, gibt es bisher nicht.
Trickreiches Aggregieren
Vanhoef nennt die von ihm gefundenen Schwachstellen Fragmentation and Aggregation Attacks, kurz FragAttacks. Eine davon beruht darauf, dass der Angreifer einen Frame zusammenbaut, der zunächst wie ein herkömmlicher Handshake zum Verbindungsaufbau aussieht. Dieser ist naturgemäß noch nicht verschlüsselt. Im Weiteren stellt der Empfänger dann fest, dass es sich um einen aggregierten Frame handelt. Verwundbare Geräte zerlegen den dann und behandeln den zweiten, ebenfalls unverschlüsselten Frame, als wäre er über eine gesicherte Verbindung gekommen. So kann der Angreifer auch ohne Kenntnis des WLAN-Passworts eigene Pakete ins Funknetz einschleusen.
Mathy Vanhoef ist kein Unbekannter. Der Sicherheitsforscher hat mit Dragonblood und insbesondere Krack bereits mehrfach Sicherheitsprobleme der WLAN-Standards beziehungsweise -Umsetzungen aufgedeckt. Er beschreibt die einzelnen Probleme ausführlich auf einer eigenen Webseite zu den FragAttacks (von der übrigens auch das Logo stammt). Dort führt er auch insgesamt 12 CVE-Nummern für die einzelnen Schwachstellen auf, über die man gezielt auf einzelne Bezug nehmen kann. Außerdem stellt er Tools bereit, mit denen man die Anfälligkeit testen kann.
Liste der CVE-Einträge zu FragAttacks:
- CVE-2020-24588: Aggregation attack (accepting non-SPP A-MSDU frames)
- CVE-2020-24587: Mixed key attack (reassembling fragments encrypted under different keys)
- CVE-2020-24586: Fragment cache attack (not clearing fragments from memory when (re)connecting to a network)
- CVE-2020-26145: Accepting plaintext broadcast fragments as full frames (in an encrypted network)
- CVE-2020-26144: Accepting plaintext A-MSDU frames that start with an RFC1042 header with EtherType EAPOL (in an encrypted network)
- CVE-2020-26140: Accepting plaintext data frames in a protected network
- CVE-2020-26143: Accepting fragmented plaintext data frames in a protected network
- CVE-2020-26139: Forwarding EAPOL frames even though the sender is not yet authenticated (should only affect APs)
- CVE-2020-26146: Reassembling encrypted fragments with non-consecutive packet numbers
- CVE-2020-26147: Reassembling mixed encrypted/plaintext fragments
- CVE-2020-26142: Processing fragmented frames as full frames
- CVE-2020-26141: Not verifying the TKIP MIC of fragmented frames
(ju)
Quelle: www.heise.de