Dragonblood: Schwachstellen in WPA3-Standard veröffentlicht

Zwei Sicherheitsforscher haben insgesamt fünf Schwachstellen in WPA3 entdeckt. Vier davon können zur Wiederherstellung von Benutzerpasswörtern verwendet werden. Neben WPA3 betreffen die Dragonblood-Schwachstellen auch das Extensible Authentication Protocol (EAP-pwd), das in den bisherigen Wi-Fi-Authentifizierungsstandards WPA und WPA2 unterstützt wird.

Zwei Sicherheitsforscher haben Details zu einer Gruppe von Schwachstellen veröffentlicht, die gemeinsam als Dragonblood bezeichnet werden und die den kürzlich eingeführten Sicherheits- und Authentifizierungsstandard WPA3 der WiFi Alliance betreffen. Die Schwachstellen ermöglichen es einem Angreifer im Netzwerk eines Opfers, das Wi-Fi-Passwort wiederherzustellen und das Netzwerk des Ziels zu infiltrieren.

Dragonblood (Bild: Mathy Vanhoef, Eyal Ronen)

„Derzeit verwenden alle modernen Wi-Fi-Netzwerke WPA2 zum Schutz der übertragenen Daten. Da WPA2 jedoch mehr als 14 Jahre alt ist, hat die Wi-Fi Alliance kürzlich das neue und sicherere WPA3-Protokoll angekündigt. Einer der Hauptvorteile von WPA3 ist, dass es dank des zugrunde liegenden Dragonfly-Handshake fast unmöglich ist, das Passwort eines Netzwerks zu knacken. Leider haben wir festgestellt, dass selbst mit WPA3 ein Angreifer in Reichweite eines Opfers immer noch das Passwort des Wi-Fi-Netzwerks wiederherstellen kann. Konkret können Angreifer dann Informationen lesen, von denen angenommen wurde, dass sie mit WPA3 sicher verschlüsselt wurden. Dies kann missbraucht werden, um sensible übertragene Informationen wie Kreditkartennummern, Passwörter, Chatnachrichten, E-Mails usw. zu stehlen.“ schreiben Mathy Vanhoef und Eyal Ronen in einem Beitrag, der die Schwachstellen erläutert.

Insgesamt haben die Sicherheitsforscher fünf Schwachstellen entdeckt: Vier davon können zur Wiederherstellung von Benutzerpasswörtern verwendet werden. Neben WPA3 betreffen die Dragonblood-Schwachstellen auch das Extensible Authentication Protocol (EAP-pwd), das in den bisherigen Wi-Fi-Authentifizierungsstandards WPA und WPA2 unterstützt wird.

Während der Denial-of-Service-Angriff nicht so dramatisch ist, da er nur zum Absturz von WPA3-kompatiblen Access Points führt, können die anderen vier Sicherheitslücken zur Wiederherstellung von Benutzerpasswörtern verwendet werden.

Sowohl die beiden Downgrade-Angriffe als auch die beiden Seitenkanallecks nutzen Designfehler beim Schlüsseltausch des WPA3-Standards – dem Mechanismus, über den sich Clients an einem WPA3-Router oder Access Point authentifizieren. In einem Downgrade-Angriff können WiFi-WPA3-fähige Netzwerke gezwungen werden, ein älteres und unsichereres Passwort-Austauschsystem mit bekannten Sicherheitslücken zu verwenden, das es Angreifern ermöglichen kann, die Netzwerkpasswörter abzugreifen.

In einem Seitenkanal-Informationsleckangriff können WPA3-fähige Netzwerke Geräte dazu verleitet werden, schwächere Algorithmen zu verwenden, die kleine Mengen an Informationen über das Netzwerkpasswort enthalten. Bei wiederholten Angriffen kann das vollständige Passwort schließlich wiederhergestellt werden.

Downgrade auf Dictionary Attack funktioniert in Netzwerken, in denen WPA3 und WPA2 gleichzeitig über einen Kompatibilitätsmodus von WPA3 unterstützt werden. Dieser Angriff wurde auf einem kürzlich veröffentlichten Samsung Galaxy S10 Gerät bestätigt. Die Autoren schreiben dazu folgendes:

Wenn ein Client und AP sowohl WPA2 als auch WPA3 unterstützen, kann ein Gegner einen Rogue AP einrichten, der nur WPA2 unterstützt. Dies bewirkt, dass sich der Client (d.h. das Opfer) über den 4-Wege-Handshake von WPA2 verbindet. Obwohl der Client während des 4-Wege-Handshake den Downgrade zu WPA2 erkennt, ist dies zu spät. Die 4-fach Handshake-Meldungen, die ausgetauscht wurden, bevor die Herabstufung erkannt wurde, liefern genügend Informationen, um einen Offline-Wörterbuchangriff zu starten.

Group Downgrade Attack – funktioniert, wenn WPA3 konfiguriert ist, um mit mehreren Gruppen von kryptographischen Algorithmen zu arbeiten, anstatt nur mit einem. Einfacher Downgrade-Angriff.

„Zum Beispiel, wenn ein Kunde die elliptischen Kurven P-521 und P-256 unterstützt und sie lieber in dieser Reihenfolge verwendet. In diesem Fall unterstützt auch der AP die P-521-Kurve, ein Gegner kann den Klienten und den AP zwingen, die schwächere P-256-Kurve zu verwenden. Dies kann erreicht werden, indem man die Nachrichten des Dragonfly-Handshake blockiert und eine Nachricht schmiedet, die anzeigt, dass bestimmte Kurven nicht unterstützt werden. „

Cache-Based Side-Channel Attack (CVE-2019-949494) – nutzt den Algorithmus des Dragonfly-Protokolls „hunting and pecking“.

„Wenn ein Gegner bestimmen kann, welcher Zweig des if-then-else-Zweiges genommen wurde, kann er erfahren, ob das Passwortelement in einer bestimmten Iteration dieses Algorithmus gefunden wurde. In der Praxis haben wir festgestellt, dass, wenn ein Gegner unprivilegierten Code auf dem Opfercomputer ausführen kann, wir in der Lage waren, cachebasierte Angriffe zu verwenden, um zu bestimmen, welcher Zweig in der ersten Iteration des Algorithmus zur Passworterzeugung genommen wurde. Diese Informationen können missbraucht werden, um einen Angriff auf die Passwortpartitionierung durchzuführen (dies ist vergleichbar mit einem Offline-Wörterbuchangriff).“

Timing-Based Side-Channel Attack (CVE-2019-949494) – nutzt die WPA3-Funktion „multiplikative Gruppen“.

„Wenn der Dragonfly-Handshake bestimmte multiplikative Gruppen verwendet, verwendet der Algorithmus zur Passwortverschlüsselung eine variable Anzahl von Iterationen, um das Passwort zu kodieren. Die genaue Anzahl der Iterationen hängt vom verwendeten Passwort und der MAC-Adresse des AP und des Clients ab. Ein Gegner kann einen Remote-Timing-Angriff auf den Passwortverschlüsselungsalgorithmus durchführen, um festzustellen, wie viele Iterationen erforderlich waren, um das Passwort zu kodieren. Die wiederhergestellten Informationen können missbraucht werden, um einen Angriff auf die Passwortpartitionierung durchzuführen, der einem Offline-Wörterbuchangriff ähnlich ist. „

Detailliertere Erklärungen für jede dieser Schwachstellen finden sich in einer von Mathy Vanhoef und Eyal Ronen verfassten wissenschaftlichen Arbeit mit dem Titel „Dragonblood: A Security Analysis of WPA3’s SAE Handshake“ und auf der Website https://wpa3.mathyvanhoef.com/

Neben WPA3 betreffen die Dragonblood-Schwachstellen auch das Extensible Authentication Protocol (EAP-pwd), das in den bisherigen WiFi-Authentifizierungsstandards WPA und WPA2 unterstützt wird.

„Wir haben in den meisten Produkten, die EAP-pwd implementieren, schwere Fehler entdeckt“, sagte das Forschungsduo. „Diese erlauben es einem Gegner, sich als ein beliebiger Benutzer auszugeben und dadurch auf das WLAN-Netzwerk zuzugreifen, ohne das Passwort des Benutzers zu kennen.“

Die beiden Forscher haben keine Details veröffentlicht, wie sich die Schwachstellen von Dragonblood auf EAP-pwd auswirken, da der Patch-Prozess noch im Gange ist.

Lancom veröffentlicht Workaround

Der deutscher Routerhersteller Lancom hat bereits seine Kunden über die WPA3-Schwachstellen informiert. Demnach sind Lancom-Geräte nur von der Schwachstelle im WPA2/WPA3-Kompatibilitätsmodus betroffen. Da es sich hierbei um eine Schwachstelle im WPA3-Standard handelt, könne nur eine Weiterentwicklung des Standards den Bug beseitigen. Lancom hat jedoch einen Workaround beschrieben, mit dem sich Nutzer von Lancom-Routern vor dieser Schwachstelle schützen können.

Die laut Lancom kritischste Schwachstelle, die Möglichkeit von Seitenkanalangriffen, ist für Lancom-Router nicht relevant, da ein potentieller Angreifer laut Angaben des Herstellers nicht in der Lage ist, unautorisierten Code auf einem Lancom-Gerät auszuführen. Die weiteren beschriebenen Schwachstellen seien für Lancom-Nutzer nicht relevant, da bei den Geräten die zugrundeliegenden, optionalen Funktionen nicht implementiert seien.

ANZEIGE

IT-Kosten im digitalen Zeitalter optimieren – Nutzen Sie innovative Technologien und generieren Sie neue Geschäftschancen

Erfahren Sie in diesem Whitepaper von Konica Minolta, wie sich durch die Nutzung innovativer Technologien neue Geschäftschancen generieren lassen. Jetzt herunterladen!

Themenseiten: WLAN

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Dragonblood: Schwachstellen in WPA3-Standard veröffentlicht

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *