goSecurity BLOG

Mit dem neuen WLAN-Sicherheits- und Authentifizierungsstandard WPA3 wollte man den mittlerweile mehr als 14 Jahre alten WPA2-Standard, der vor allem durch die Schwachstelle „KRACK-Attack“ negative Schlagzeilen machte, ablösen. Einer der Hauptvorteile gegenüber dem alten WPA2-Standard sollte das verbesserte Schlüsselaustauschverfahren sein.

Nun muss aber der WPA3-Standard seinen ersten Rückschlag erleben – ausgerechnet im neu entwickelten Schlüsselaustauschverfahren. Es wurden mehrere Schwachstellen gefunden, die es einem Angreifer unter bestimmten Voraussetzungen möglich machen, die Verbindung von Geräten abzuhören, um so an Informationen wie Kreditkartennummern, E-Mails, Passwörter usw. zu gelangen. Entdeckt wurden die Lücken durch die Sicherheitsforscher Mathy Vanhoef und Eyal Rohnen. In einem umfassenden wissenschaftlichen Artikel haben sie die Schwachstellen genau beschrieben (Link zum PDF). Weiter haben die Forscher die passenden Tools (wohlgemerkt für Testzwecke) mitgeliefert.

Unterschied WPA2 und WPA3

Das beim WPA2 verwendete Schlüsselaustauschverfahren, sowie der schwache Vier-Wege-Handshake, erlaubt es, Offline-Wörterbuchangriffe auf den PSK (Pre Shared Key) durchzuführen. Dabei muss der Angreifer nicht im selben Netz sein. Beim WPA3-Standard ist ein höherer Passwortschutz gegeben. Konkret heisst das, dass beim WPA3 ein neues Schlüsselaustauschverfahren und der Vier-Wege-Handshake stärker ist (auch bekannt als Simultaneous Authentification of Equals [SAE bzw. Dragonfly-Handshake]). Einhergehend mit dem neuen Handshake unterstützt WPA3 auch „Forward Secrecy“. Die detaillierte Erläuterung dieser Technologien würde den Rahmen dieses Blogs sprengen. Falls Sie die Details interessieren, lesen Sie dazu den wissenschaftlichen Artikel der oben genannten Sicherheitsforscher.

Ein weiterer Vorteil von WPA3 ist unter anderem die Handhabung von IoT (Engl. Internet of Things). IoT war zum Zeitpunkt der Einführung von WPA2 (im Jahr 2004) noch kein grosses Thema. Dementsprechend ist die Sicherheit eines IoT-Gerätes in Verbund eines WPA2-WLANs dürftig. Hier handelt es sich vor allem um Geräte, die keinen Bildschirm oder einen eingeschränkten Eingabemechanismus haben. Die Funktion Wi-Fi Easy Connect in WPA3 ermöglicht es, genau solche Geräte (mittels QR-Code) in WPA3-WLANs einzubinden. Das Scannen erfolgt in der Regel durch ein Smartphone.

Dragonblood

Dragonblood bezeichnet eine Gruppe von Schwachstellen, die im neuen Sicherheits- und Authentifizierungsstandard WPA3 aufgedeckt wurden. Da die entdeckten Sicherheitslücken den Dragonfly-Handshake betreffen, wurde der Begriff für die Gruppierung der Schwachstellen „Dragonblood“ verwendet – sinnbildlich. Dabei handelt es sich um fünf Schwachstellen. Vier davon können zur Rekonstruierung von Benutzerpasswörtern und eine als DOS-Attacke (Denial-of-Service) verwendet werden. Konkret wird von zwei Kategorien von Angriffen gesprochen (ausgenommen der DOS-Angriff). Einerseits zwei Downgrade-Attacken, die es einem Angreifer möglich machen, das höhere Sicherheitsmerkmal auf die abgeschwächte Variante zu reduzieren und andererseits, Schwachstellen im Dragonfly-Handshake selbst auszunutzen (Side-Channel). Von diesen Angriffen sind zudem WLAN-Umgebungen betroffen, bei welchen Benutzer sich per EAP-pwd (Extensible Authentication Protocol) anmelden. Da EAP-pwd teilweise auch mit WPA2 verwendet wird, ist WPA2 ebenfalls anfällig auf die Attacke.

Downgrade-Attacken im Detail

Der „WPA-Transition Mode“ erlaubt es Netzwerkgeräten, die WPA3 unterstützen, auf WPA2 umzustellen, da es noch einige Zeit dauern wird, bis alle WPA2-Geräte vom Markt genommen werden. Mit diesem Modus soll der Übergang von WPA2 auf WPA3 erleichtert werden. Das Problem hierbei ist, dass WLANs dabei gleichzeitig beide Standards unterstützen und somit identische Passwörter verwenden. Somit können Angreifer auf einem Client den WPA2-Standard forcieren und mittels Brute-Force etc. Passwörter ergattern. Im WPA3 Handshake – Security Group Downgrade besteht zudem ein Problem, dass ein Angreifer einem Client des Opfers eine schwächere Security Group (Diffie-Hellman-Groups) erzwingen kann.

Side-Channel und Denial-of-Service

Es gibt zwei verschiedene Möglichkeiten, den Side-Channel-Angriff auszuführen:

Timing-Based Side-Channel Attack

Passwörter eines WLANs gilt es nahezu unmöglich wiederherzustellen, wenn sie mit WPA3 betrieben werden und gelten somit als sicher. Dennoch können Angreifer über Umwege Anzeichen auf Zugangsdaten erahnen. Zum Beispiel ändert sich die Antwortzeit eines APs (Access Points) abhängig vom verwendeten Passwort, wenn dieser MODP-Groups verwendet (Multiplicative security groups module – dies ist eine optionale Funktion). Damit ist es theoretisch möglich, Passwörter zu rekonstruieren. Das Verfahren ist komplex und aufwändig. Zumindest solange kein Tool existiert, welches diesen Prozess automatisiert. Die Forscher bewiesen jedoch die Plausibilität entsprechender Attacken.

Cache-Based Side-Channel Attack

Um diese Attacke auszuführen, muss der Angreifer eine Anwendung (z.B. ein laufendes JavaScript-Programm im Browser) auf dem Client des Opfers kompromittieren. Ist diese Voraussetzung gegeben, kann der Angreifer über die Zugriffsmuster auf den Cache des kompromittierten Clients Hinweise zum verwendeten Passwort gewinnen. Auch dieses Verfahren ist komplex und von mehreren Bedingungen abhängig.

Denial-of-Service

Diese Angriffsform der Dragonblood-Familie ist weniger kritisch anzusehen, als die beiden oben genannten. Je nach Umgebung (z.B. in Spitälern) kann diese Angriffsform dennoch grossen Schaden anrichten. Mit 16 manipulierten Frames / Sekunde kann ein Angreifer ein Access-Point zum Absturz bringen.

Was gilt es nun zu tun?

In der Stellungnahme der Wi-Fi Alliance (WFA) können diese Sicherheitslücken durch Software-Updates geschlossen werden. Daher gilt es für Sie, Wenn Sie den WPA3-Standard schon im Einsatz haben, unbedingt nach Software-Updates zu suchen und diese zu installieren. Weiter empfehlen wir Ihnen, komplexe WLAN-Passwörter von mindestens 16-Zeichen zu verwenden.

WPA3 ist deutlich sicherer als der WPA2-Standard. Die Sicherheit kann jedoch auch hier erhöht werden, wenn Sie nach Software-Updates suchen, diese installieren und komplexe WLAN-Passwörter von mindestens 16-Zeichen verwenden.

WPA3.1

Durch die entdeckten Sicherheitslücken des WPA3-Standards könnte es sein, dass dieser durch den WPA3.1-Standard abgelöst wird. WPA3.1 wäre allerdings nicht mehr abwärtskompatibel.

Wie bereits erwähnt, können Sie die Sicherheit Ihrer bestehenden Hardware mit den oben beschriebenen Massnahmen erhöhen. Falls Sie jedoch eine Neuanschaffung von Hardware in Erwägung ziehen, würde es sich lohnen abzuwarten und die Entwicklung des allfälligen WPA3.1-Standards zu beobachten.

Fazit

Die Entdecker dieser Schwachstellen kritisieren die Wi-Fi Alliance (WFA) stark. Zumindest Downgrade-Attacken hätten verhindert werden können, wenn ein offenerer Entwicklungsprozess des WPA3-Standards stattgefunden hätte. Laut Aussagen der Sicherheitsforscher ist der WPA3-Standard, trotz der entdeckten Sicherheitslücken, dennoch sicherer als seine Vorgänger.

Quellen

https://papers.mathyvanhoef.com/dragonblood.pdf

https://www.zdnet.de/88358139/dragonblood-schwachstellen-in-wpa3-standard-veroeffentlicht/

https://www.heise.de/security/meldung/Dragonblood-Angreifer-koennen-bei-WPA3-unter-Umstaenden-WLAN-Passwoerter-knacken-4393108.html

https://www.netspotapp.com/de/wifi-encryption-and-security.html

https://www.heise.de/security/meldung/Dragonblood-Neue-Luecken-in-WLAN-Verschluesselung-WPA3-koennten-WPA3-1-noetig-machen-4489397.html

CVE-2019-9494

CVE-2019-9495

CVE-2019-9497

CVE-2019-9498

CVE-2019-9499

CVE-2019-11234

CVE-2019-11235