FragAttacks bedrohen fast alle WLAN-Geräte (13.05.2021) |
Designprobleme und Fehler in der Umsetzung von WLAN-Standards bzgl. der Behandlung von Frames reissen Lücken in die WLAN-Sicherheit bis einschliesslich WPA3 (Wi-Fi Protected Access = legt das Verfahren zur Anmeldung eines WLAN-Geräts an der WLAN-Basisstation fest). Ein Angreifer, der sich in Reichweite des Funknetzwerks befindet, könnte so eigene Pakete in ein eigentlich gesichertes WLAN einschleusen, um beispielsweise WLAN-Geräte zu attackieren oder in unzureichend gesicherte, ungepatchte Systeme einzudringen, um diese zu übernehmen (gelingt es gar eine NAT-Firewall zu durchbohren, wäre dies besonders heikel für das gesamte Netzwerk). |
Die Art des Angriffs nennt sich Fragmentation and Aggregation Attacks, kurz FragAttacks. Ein mögliches Angriffsszenario beruht darauf, dass der Angreifer einen Frame zusammenbastelt, der zunächst den Anschein eines herkömmlichen Handshakes zum Verbindungsaufbau hat. Handshakes sind logischerweise noch unverschlüsselt, denn sie dienen dazu die Anmeldung zu authentifizieren (WPA). Das verwundbare Empfängergerät zerlegt den aggregierten (zusammengeführten) Frame und behandelt den zweiten präparierten Frame, als wäre er über die gesicherte Verbindung gekommen. So ist es möglich, ohne Kenntnis des WLAN-PSK (PreSharedKey, Passwort) Pakete ins Funknetz einzuschleusen! Fazit: Die verwendete und eigentlich sichere Verschlüsselungsmethode (z.B. AES = Advanced Encryption Standard) spielt bei dieser Art des Angriffs überhaupt keine Rolle, weil dieser bereits beim Aushandeln der Verbindung (Anmeldung) stattfindet. Deshalb macht es durchaus Sinn, den WLAN-Zugang auf die bereits bekannten Geräte zu beschränken. Zwar bietet der dann angewendete MAC-Adressfilter keinen allumfassenden Schutz (Stichwort MAC-Spoofing), stellt aber eine weitere Hürde dar, der es Angreifern schwerer macht. Für Windows, Linux, Router und WLAN-Adapter gibt es bereits erste Updates, die das vereiteln. So hat z.B. AVM das Router-Flaggschiff FRITZ!Box 7590 mit der Firmware/FRITZ!OS 7.27 abgesichert oder stellt für andere Geräte Labor-Updates (Beta-Versionen) zur Verfügung, z.B. Beta-Version 7.26 für den Fritz!Repeater 2400. Auch Intel bietet bereits Updates für ihre WLAN-Adapter und -Karten an. Windows wurde mit dem jetzigen Mai-Patchday abgesichert. Anwender sollten auf jeden Fall prüfen, ob Updates für ihre Geräte angeboten oder angekündigt werden und diese zeitnah installieren. Die grösste Gefahr besteht für IoT-Devices wie z.B. smarte Stromstecker und Lampen oder "intelligente" Stromzähler etc. und Altgeräte (z.B. auch WLAN-Kameras), die keine Updates mehr erhalten, weil der Hersteller diese nicht mehr unterstützt. |
Kommentieren |