WLAN-Attacke: SSID-Verwechslungs-Angriff macht Nutzer verwundbar
Eine Sicherheitslücke in WLAN-Protokollen führt dazu, dass Angreifer in einer Man-in-the-Middle-Position WLAN-Verkehr manipulieren können.
(Bild: Devenorr/Shutterstock.com)
Eine neue WLAN-Schwachstelle hat Professor Mathy Vanhoef entdeckt, der auch schon Sicherheitslücken wie TunnelCrack, KRACK Attack oder Dragonblood aufgespürt hat. Es handelt sich um eine "SSID Confusion"-Sicherheitslücke (SSID-Verwechslung).
(Bild: Top10VPN)
Vereinfacht funktioniert ein solcher Angriff so, dass ein bösartiger Akteur die SSID des Zielnetzes fälscht und dann Verbindungen über sich umleitet, sodass die Clients sich beim gefälschten Access Point anmelden. Sofern ein Opfer ein vertrauenswürdiges Netzwerk verbinden möchte und ein zweites Netzwerk mit denselben Authentifizierungsdaten – etwa ein WLAN-Mesh – verfügbar sind, ist eine Attacke möglich. Danach steht Angreifern der gesamte Netzwerkverkehr offen: nicht verschlüsselte Verbindungen lassen sich einsehen und weitere Angriffe auf Opfer einleiten. Angreifer könnten etwa versuchen, so Malware einzuschleusen.
Der SSID-Confusion-Angriff
Etwas detaillierter sieht das Angriffsszenario folgendermaßen aus: Ein Angreifer in einer Man-in-the-Middle-Position fängt die WLAN-Pakete zwischen dem echten Access Point (AP) und des WLAN-Clients des Opfers ab, die beim normalen Netzwerkscan auftreten. Er verändert die SSIDs des vertrauenswürdigen Netzes mit der des "bösartigen" Netzes, bevor er sie an die ursprünglichen Ziele weiterleitet. Das Opfer sieht Antwortpakete, die scheinbar vom vertrauenswürdigen Netzwerk stammen, obwohl es sich um den bösartigen AP des Angreifers handelt.
Bei einer Authentifizierung fängt der Angreifer die Pakete des Opfers ab und ersetzt die SSID des vertrauenswürdigen Netzes durch das falsche Netz, bevor er sie an den echten AP weiterleitet und so die Authentifizierung vervollständigt. Was nun passiert, hängt vom verwendeten WLAN-Protokoll ab – solange jedoch die SSID nicht in den PMK-Ableitungsprozess (Pairwise Master Key) einfließt, gelingt der Angriff. An dieser Stelle können Angreifer allen Verkehr des Opfers abfangen, umschreiben und an den echten AP weiterleiten.
(Bild: Top10VPN)
Nicht alle WLAN-Protokolle sind anfällig für den Angriff, etwa, weil bei ihnen die SSID in den Pairwise Master Key (PMK) einfließt. Als sicher stuft Vanhoef WPA1 und WPA2 ein, oder die FT-Authentifizierung. Das ohnehin nicht mehr sicher zu nutzende WEP ist anfällig, und das neuere, sonst sicherere WPA3 ebenfalls. 802.11X/EAP und Mesh-Netzwerke mit AMPE-Authentifizierung sind laut Auflistung ebenfalls für SSID-Confusion verwundbar.
Schutz vor SSID-Verwechselung-Attacken
In der Übersicht zur SSID-Confusion-Sicherheitslücke nennen die Autoren auch potenzielle Gegenmaßnahmen, um vor Attacken zu schützen. Dazu gehören Änderungen in den WLAN-Standards – Wi-Fi 7 bringe die Option des Beacon-Schutzes mit, der solche Angriffe vereitelt. Konkret können Netzwerk-Admins aber die Wiederbenutzung von Zugangsdaten zwischen SSIDs unterbinden. Enterprise-Netze sollten eigene CommonNames bei der Radius-Authentifizierung nutzen, im Heimnetzwerk helfe für jede SSID ein eigenes Zugangspasswort. Laut der Liste betroffener Protokolle könnte jedoch auch als schnelle und praxistauglichere Zwischenlösung funktionieren, von WPA3 auf WPA2 zurückzuschalten.
Auf Anfrage von heise online, wie die Netzwerkexperten die Lücke einschätzen und ob etwa die weitverbreiteten Mesh-Netzwerke etwa mit den Fritz-Repeatern betroffen sind, hat AVM bislang nicht reagiert. Lancom hingegen bittet sich noch etwas Zeit aus, um eine umfassende Bewertung vorzunehmen.
AVM hat inzwischen auf unsere Anfrage geantwortet: "Wir kennen und schätzen die theoretischen Arbeiten von Professor Vanhoef, die oftmals dazu beitragen, die WLAN-Sicherheit zu verbessern. Die praktischen Auswirkungen der gefundenen Punkte halten sich zum Glück häufig in recht engen Grenzen, da sich die Rahmenbedingungen für einen potenziellen Angreifer doch eher aufwendig gestalten. Nichtsdestotrotz betrachten wir alle theoretischen Sicherheitsrisiken für unsere Produkte und adressieren diese, wenn nötig, mit Updates. In diesem Fall sind in erster Linie Heimnetzgeräte und damit Hersteller der Client-Betriebssysteme gefragt und unter anderem die Wi-Fi Alliance, da es auch um Standardisierung geht. Wenn Anpassungen unserer Produkte notwendig sein sollten, können wir schnell mit Updates reagieren."
Inzwischen stellt auch Lancom eine erste Stellungnahme auf der Webseite bereit. Die WLAN-Spezialisten erklären dort: "Da es sich um eine Schwachstelle im WLAN-Standard handelt, kann diese bei Verwendung von 802.1X und unter bestimmten Voraussetzungen auch von WPA3 auch mit Lancom-Produkten ausgenutzt werden. Sollte der WLAN-Standard entsprechend aktualisiert werden, wird Lancom Systems schnellstmöglich Anpassungen in der Firmware vornehmen. Lancom Systems empfiehlt daher in entsprechenden Szenarien WPA2 zu verwenden oder – sofern möglich – WLAN-Netzwerke mit unterschiedlichen Zugangsdaten zu verwenden". Sie analysieren die Lücke und ihre potenziellen Auswirkungen jedoch noch weiter.
(dmk)
