KRACK - Sicherheitslücke in WPA2

26.10.2017 Am 14.07.2017 informierte Mathy Vanhoef, KU Leuven die Hersteller der von ihm getesteten WLAN-Systeme über eine Möglichkeit, das bis dahin als sicher geglaubte Protokoll WPA2 zur Verschlüsselung eines WLANs zu kompromittieren. Dabei sind vermutlich annähernd alle Systeme betroffen, welche das Protokoll WPA oder WPA2 einsetzen.

Ablauf eines Angriffs

Im Folgenden eine stark vereinfachte Beschreibung eines erfolgreichen Angriffs: Der Angreifer muss sich in Reichweite eines WLANs befinden und ein Opfer-System auswählen, welches mutmaßlich mit dem lokalen AccessPoint (AP) verbunden ist. In der ersten Phase versucht er, über einen speziellen Angriff eine Postion zwischen dem Opfer-System und dem AP zu erreichen (CHANNEL-BASED MITM). Dadurch ist er in der Lage, den noch verschlüsselten Datenverkehr zwischen Opfer-System und AP mitzulesen oder auch zu unterbrechen.

In der zweiten Phase stört der Angreifer den regelmäßigen Schlüsselaustausch zwischen Opfer-System und AP. Hier setzt der Angreifer genau an der Stelle an, an der das Opfer-System versucht, den gerade vom AP empfangenen Schlüssel zu bestätigen: Er verhindert die Weiterleitung dieser Bestätigung. In der Folge sendet der AP den Schlüssel erneut.

Das Problem dabei: Das Opfer-System hat den Schlüssel bereits unmittelbar nach Versand der Bestätigung in Verwendung. Wenn der AP die Bestätigung jedoch nicht rechtzeitig erhält, sendet dieser dem Opfer-System denselben Schlüssel erneut. In diesem Fall verwendet das Opfersystem den bereits erhaltenen Schlüssel ein zweites Mal. Dieses Verhalten ist Bestandteil des sogenannten 4-way Handshake oder auch Vier-Wege-Handshake , welches von WPA bzw. WPA2 verwendet wird. Wenn es dem Angreifer gelingt, den Client dazu zu bringen, während der ersten Verwendung des neuen Schlüssels, dem Angreifer bekannte Daten damit zu verschlüsseln, ist der Angreifer in der Lage, mit den bis dahin gewonnenen Informationen alle Daten, die mit der erneuten Verwendung des *selben* Schlüssels verschlüsselt wurden zu entschlüsseln.

Folgen des Angriffs

Wie bereits am Ende der Beschreibung erwähnt, können beliebige Daten, welche über ein WLAN mit WPA oder WPA2 gesendet werden, entschlüsselt werden.Da sich der Angreifer jedoch in einer MITM-Position (Man In The Middle) befindet, ist er auch in der Lage, entschlüsselte Daten zu manipulieren und in verschlüsselter Form weiterzuleiten. So ist es nicht nur möglich, die Daten einzusehen, sondern auch problemlos in eine https-Verbindung des Opfers in der Art einzusteigen, so dass das Opfer mit einer http-Verbindung fortfährt und damit SSL-verschlüsselte Seiten keinen Schutz mehr darstellen. Spätestens dann kann der Angreifer auch Code in die vom Opfer abgerufene Seite einschleusen, um dessen Rechner zum Beispiel über einen bekannten oder auch Zero-Day-Exploit komplett zu übernehmen. Und das obwohl das Opfer eine beliebige, nicht kompromittierte "saubere" Seite im Netz aufgerufen hat.

Einschränkungen

Wie bereits erwähnt, muss sich der Angreifer mit einem eigenen AP (AccessPoint) in unmittelbarer Reichweite des fremden AP UND dem anzugreifenden Client befinden. In dem Paper von Vanhoef wird darauf hingewiesen, dass die Verschlüsselung für einen erfolgreichen Angriff der beschriebenen Art mit OpenBSD als Betriebssystem vom Chip der Netzwerkkarte durchgeführt werden muss.

Webseiten, welche normalerweise über HTTPS erreicht werden und das Protokoll HSTS unterstützen, lösen bei den neueren Browsern einen Fehler aus, den der Anwender nicht mehr wie bei einem abgelaufenen oder ungültigen Zertifikat akzeptieren kann. Das Unterschieben einer reinen HTTP-Verbindung wie oben beschrieben wäre hier bei diesen Webseiten also wirkungslos.

AccessPoints selbst sind von dem Problem nur betroffen, so weit auf diesen das Protokoll 802.11r (fast roaming) zum Einsatz kommt. Das heißt ein Update ist andernfalls nur für die Clients notwendig.

Einschätzung der Sicherheitsrelevanz

Die Folgen eines erfolgreichen Angriffs dieser Art versetzt den Angreifer in die Position eines beliebigen Providers oder des Betreibers des verwendeten AccessPoints.Der Angreifer ist exakt wie jeder Provider oder WLAN-Betreiber in der Lage, Datenpakete auf IP-Ebene mitzulesen und auch zu manipulieren. Das heißt, der Vorteil ist nicht als exklusiv, wie z.B. das Übernehmen der Kontrolle über einen Rechner einzustufen. Vielmehr ist in der Regel bei fast allen Datenverbindungen eine hohe Anzahl Personen in der Lage, ohne einen Angriff dieselben Möglichkeiten wie der Angreifer zu bekommen.

Der Unterschied liegt lediglich in der Anonymität: Während der Mitarbeiter eines Providers Gefahr läuft, dass sein Handeln bereits auf rein technischer Ebene sogar auch nachträglich erkannt wird, müsste ein Angreifer über physikalische Messungen und insbesondere während der Tat überführt werden. Abgesehen von der Möglichkeit, Datenpakete auch zu manipulieren entspricht die erreichte Position des Angreifers einem typischen WLAN ohne Verschlüsselung oder nur mit WEP sowie der einschlägig bekannten Geheimdienste.

Gegenmaßnahmen
  • Update der Clients und wie oben beschrieben bei Bedarf auch der AccessPoints
  • Verwendung von VPNs als unabhängige Verschlüsselungsebene
  • Sichtprüfung bei vermeintlichen HTTPS-Verbindungen
  • Keine fehlerhaften Zertifikate akzeptieren (insbesondere bei unbekannter Zertifikatsauthorität)

Besonderheit

Unter Linux und dem Ableger Android kommt bei WLAN-Verbindungen in der Regel das Paket "wpa-supplicant" zum Einsatz. Dieses Paket hat die Eigenschaft, einen Schlüssel, welcher durch einen neuen Schlüssel abgelöst wurde, mit Nullen zu überschreiben. Dieses Verhalten führt dazu, dass bei der oben beschriebenen erneuten Verwendung eines Schlüssels nicht dieser Schlüssel, sondern ein Schlüssel bestehend aus lauer Nullen verwendet wird. Damit wird die anschließende Entschlüsselung mathematisch gesehen trivial. Im Ergebnis ändert dieser Umstand jedoch nichts. Das Überschreiben mit Nullen hat den Zweck, bei einer direkten Kompromittierung des Opfer-Systems diesem Angreifer wiederum nicht die Möglichkeit zu geben, Datenübertragungen über WLAN in nicht unerheblichem Maße nachträglich zu entschlüsseln.

Quellen:
https://www.krackattacks.com/#disclosure
https://people.cs.kuleuven.be/~mathy.vanhoef/papers/acsac2014.pdf
https://papers.mathyvanhoef.com/ccs2017.pdf