zurück zum Artikel

Dragonblood: Angreifer können bei WPA3 unter Umständen WLAN-Passwörter knacken

Dragonblood: Angreifer können bei WPA 3 unter Umständen WLAN-Passwörter knacken

(Bild: https://wpa3.mathyvanhoef.com/)

Mehrere Sicherheitslücken in der WPA3-Personal-Anmeldung von WLANs erlauben es Angreifern unter bestimmten Umständen, den Traffic von Geräten abzuhören.

Der noch junge WLAN-Sicherungsstandard WPA3 erlebt sein erstes Sicherheitsdebakel: Die Forscher Mathy Vanhoef und Eyal Ronen haben eine Reihe von Schwachstellen im Handshake gefunden, mit dem Access Points und Clients im WPA3-Personal-Modus den Sitzungsschlüssel für die Verbindung aushandeln.

Über Seitenkanal- und Downgrade-Attacken kann ein Angreifer wichtige Informationen auslesen, mit deren Hilfe er, ähnlich wie bei einem Dictionary-Angriff, das gemeinsame WLAN-Passwort rekonstruieren und so den Datenverkehr zwischen Geräten im Netz und dem Access Point entschlüsseln kann.

Das Forscherteam von der Tel Aviv University und der KU Leuven hat in Zusammenarbeit mit der Industrievereinigung Wi-Fi Alliance (WFA) und Geräteherstellern dafür gesorgt, dass Software-Updates für die Lücke bereitstehen. Laut WFA sind bislang keine Angriffe auf die "Dragonblood" getaufte Schwachstelle bekannt.

Der Angriff missbraucht Design-Schwächen im Protokoll Simultaneous Authentication of Equals (SAE, auch Dragonfly genannt), das die WPA2-Funktion Pre-Shared Key (PSK) ersetzt, um eine Anmeldung an WPA3-gesicherten WLANs mit einem gemeinsamen Passwort zu erlauben. Das Device Provisioning Protocol (DPP) zum Einbinden von Clients über NFC oder durch QR-Code-Scan ist nicht betroffen.

Dragonfly kommt außerdem bei der Anmeldemethode EAP-PWD zum Einsatz, die optional in WPA- und WPA2-gesicherten WLANs verwendet werden kann. EAP-PWD ist ebenfalls verwundbar, aber laut Einschätzung der Forscher nur relativ selten in Gebrauch.

Neben zwei Seitenkanal- und zwei Downgrade-Sicherheitslücken, die zum Rekonstruieren des WLAN-Passworts missbraucht werden können, fanden die Forscher auch eine Denial-of-Service-Lücke, mit deren Hilfe sich ein WPA3-kompatibler Access Point lahmlegen lässt.

Eine der Downgrade-Attacken lässt sich nur ausführen, wenn das anzugreifende WLAN den für ältere Clients nötigen Mischbetrieb WPA2/3, also WPA2 und WPA3 gleichzeitig, unterstützt. Der zweite Downgrade-Angriff setzt voraus, dass das Netzwerk mehr als einen Verschlüsselungsalgorithmus unterstützt – zum Beispiel zwei unterschiedliche elliptische Kurven.

Für den ersten der Seitenkanal-Angriffe (Cache-Based Side-Channel Attack) muss ein Hacker die Möglichkeit haben, Schadcode auf einem im WLAN angemeldeten Gerät auszuführen; dafür genügen einfache Nutzerrechte. Der zweite Seitenkanal-Angriff (Timing-Based Side-Channel Attack) bedient sich einer Timing-Schwachstelle, die bei mathematischen Operationen mit bestimmten primen Restklassengruppen (MODP-Gruppen 22, 23 und 24) auftritt. Dieser Angriff ähnelt einem Offline-Wörterbuch-Angriff, wie er bei WPA2 üblich ist. Weitere Details zu allen Schwachstellen finden sich auf der den Dragonblood-Angriffen gewidmeten Webseite [1].

Die Forscher haben bisher kein Proof-of-Concept oder Beschreibungen veröffentlicht, die detailliert genug wären, um die Angriffe nachzubauen. Sie sagen, dass sie den Herstellern erst genügend Zeit geben wollen, Patches einzuspielen. Allerdings stellen sie auf ihrer Webseite eine Reihe von Tools bereit, mit denen man prüfen kann, ob die eigenen WPA3-Installationen angreifbar sind.

In ihrer wissenschaftlichen Veröffentlichung Dragonblood: A Security Analysis of WPA3’s SAE Handshake [2] kritisieren die beiden Entdecker der Lücken die Wi-Fi Alliance. Ein offenerer Entwicklungsprozess des WPA3-Standards hätte die Downgrade-Attacke zumindest bei Netzen verhindert, die WPA2 und WPA3 unterstützen. Sie sagen allerdings auch deutlich, dass sie trotz der Schwachstellen davon überzeugt sind, dass WPA3 eine klare Verbesserung gegenüber den früheren WLAN-Sicherheitsstandards darstellt. Einer der beiden Forscher, Mathy Vanhoef, hatte Ende 2017 den KRACK-Angriff gegen WPA2 [3] entdeckt und gab damit den Anstoß zur Entwicklung von WPA3 durch die Wi-Fi Alliance.

Die WFA sagte in einer Stellungnahme [4], dass die Sicherheitslücken durch Software-Updates behoben werden können, die nicht beeinflussen würden, wie gut Geräte in WLANs miteinander umgehen. Es gäbe bisher keine Hinweise darauf, dass die Sicherheitslücken aktiv ausgenutzt würden. Alle betroffenen Hardware-Hersteller seien informiert worden und rückwärtskompatible Software-Updates würden bereits verteilt.

Den Sicherheitslücken wurden die aufsteigenden CVE-Nummern CVE-2019-9494 bis CVE-2019-9499 zugewiesen. (Fabian A. Scherschel) / (fab [5])


URL dieses Artikels:
http://www.heise.de/-4393108

Links in diesem Artikel:
[1] https://wpa3.mathyvanhoef.com/
[2] https://papers.mathyvanhoef.com/dragonblood.pdf
[3] https://www.heise.de/security/artikel/KRACK-so-funktioniert-der-Angriff-auf-WPA2-3865019.html
[4] https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-security-update-april-2019
[5] mailto:fab@heise.de