Expertenbeitrag

Dirk Srocke

Dirk Srocke

Neues WPA3 geknackt

Dragonblood zeigt Schwächen aktueller WLANs

| Autor/ Redakteur: Dirk Srocke / Peter Schmitz

WPA3 sollte vieles besser machen als sein Vorgänger, das WLAN-Sicherheitsprotokolls WPA2. Doch die Forscher Mathy Vanhoef und Eyal Ronen zeigen mit ihrer Analyse des „Dragonfly handshake“, wie verwundbar selbst aktuelle Funknetzwerke sind. Tools und Paper zum Hacken von WPA3 liefern die Forscher gleich mit.

Chance vertan: So lautet das bittere Urteil der Sicherheitsforscher für WPA3, das Update des Sicherheitsprotokolls WPA2.
Chance vertan: So lautet das bittere Urteil der Sicherheitsforscher für WPA3, das Update des Sicherheitsprotokolls WPA2.
( Bild: gemeinfrei / CC0 )

WPA2, das 2004 eingeführte und weltweit genutzte Protokoll zur Authentifizierung und Verschlüsselung von WLANs, ist nicht mehr sicher. Daher hat die Industrieorganisation Wi-Fi Alliance (WFA) bereits Mitte letzten Jahres das verbesserte Verfahren WPA3 veröffentlicht. Produkte mit dem neuen WPA3-Verfahren sind seit Anfang 2019 erhältlich. Doch auch WPA3 ist möglicherweise anfällig für Cyber-Angriffe, wie die Forscher Mathy Vanhoef und Eyal Ronen mit ihrer Analyse des „Dragonfly handshake“ zeigen. Offenbar macht ausgerechnet die Rückwärtskompatibilität dem neuen Protokoll zu schaffen.

In der Vergangenheit hat sich Mathy Vanhoef (New York University Abu Dhabi) nicht nur als Mitentdecker der KRACK-Angriffsmethode einen Namen gemacht. Bereits im Vorjahr kritisierte der Forscher auf seiner Homepage auch schon die von der Wi-Fi Alliance angekündigte Sicherheitszertifizierung WPA3. Statt drahtlose Netzwerke damit ernsthaft sicherer zu machen, habe man eine Chance vertan. Lediglich der obligatorische „Dragonfly handshake“ (Simultaneous Authentication of Equals, SAE) sei eine Verbesserung zur Vorgängerversion – doch genau diesen SAE hat Vanhoef nun in einem gemeinsam mit Eyal Ronen (Tel Aviv University und KU Leuven) verfassten Paper zerlegt. Und für Testzwecke haben die beiden gleich noch die passenden Tools mitgeliefert: Dragonslayer, Dragondrain, Dragontime sowie Dragonforce.

Zwei Kategorien von Schwachstellen

Konkret beschreiben die beiden Forscher zwei Kategorien von Schwachstellen. Zu diesen gehören einerseits Downgrade-Attacken, mit denen sich die höheren Sicherheitshürden von WPA3-Personal umgehen lassen. Des Weiteren ließen sich Schwachstellen des Dragonfly handshakes selbst ausnutzen. Das beschränke sich übrigens nicht nur auf WPA3. Anfällig seien zudem WLAN-Umgebungen, in denen sich Anwender per Nutzer per EAP-pwd (Extensible Authentication Protocol) authentifizieren.

Details zur EAP-pwd haben die Forscher zunächst noch zurückgehalten, um Anwendern ein Zeitfenster für das Update ihrer Devices zu geben. Die bei WPA3 gefundenen Schwachstellen wurden dagegen bereits im umfassenden Paper „Dragonblood: A Security Analysis of WPA3's SAE Handshake“ (PDF) beschrieben und in einer koordinierten Art und Weise mit Wi-Fi Alliance und CERT/CC an die betroffene Hersteller herangetragen. In einer Pressemitteilung zum Thema betont die Wi-Fi Alliance: WPA3-Personal befinde sich noch in einer frühen Phase, wenige Hersteller seien betroffen, die Schwachstellen noch nicht ausgenutzt worden. Zudem ließen sich die Probleme per Software beheben. Erste „hostapd and wpa_supplicant security advisories“ und Patches wurden bereits veröffentlicht.

Die Downgrade-Attacken im Detail

Der „WPA-Transition Mode“ soll den Übergang von WPA2 zu WPA3 erleichtern – WLANs unterstützen dabei gleichzeitig beide Zertifizierungen mit identischen Passwörtern. Dies können Angreifer ausnutzen, um bei Clients einen WPA2-Betrieb zu erzwingen. Aus mitgeschnittenen WPA2-Handshakes ließen sich dann per Brute Force oder Wörterbuchattacke die Passwörter ableiten.

Bei Samsung Galaxy S10 und iNet Wireless Daemon gebe es zudem Implementierungsschwächen. Selbst wenn sich entsprechende Clients in ein reines WPA3 einbuchen, könnten Angreifer die Geräte in einen WPA2-Betrieb versetzen.

Mit dem Security Group Downgrade bestehe zudem ein weiteres Problem beim WPA3 Handshake. Opfern könnte hierbei eine schwächere Security Group aufgezwungen werden.

Side-Channel und DoS

Timing-Based Side-Channel Attack: Mit WPA3 gilt es zwar als unmöglich, Passwörter eines WLANs wiederzuherstellen. Über Umwege können Angreifer dennoch Rückschlüsse auf die Zugangsdaten ziehen. So ändere sich die Antwortzeit eines Access Points abhängig vom Passwort, wenn dieser die optional vorgesehenen MODP groups (Multiplicative security groups modulo) nutze. Hier wäre eine Wörterbuchattacke denkbar.

Cache-Based Side-Channel Attack: Auch über die Zugriffsmuster auf den Cache eines Clients können Hinweise zum verwendeten Passwort geben. Hierfür müssten Angreifer allerdings eine Anwendung auf dem System des Opfers kontrollieren; als mögliches Beispiel nennen die Forscher ein im Browser laufendes JavaScript-Programm.

Schließlich beschreiben Vanhoef und Ronen ein DoS-Szenario. Über dieses ließen sich Access Points bereits mit einer Rate von 16 manipulierten Commit Frames pro Sekunde lahmlegen.

Einschätzung

Für die Praxis relevant erachten die Forscher insbesondere die Downgrade-Attacken sowie Timing-Angriffe gegen Geräte mit beschränkten Ressourcen. Kritisch seien zudem die mit dem Tool Dragonslayer demonstrierten Authentication Bypass Attacks gegen EAP-pwd.

Dieser Beitrag ist ursprünglich auf unserem Partnerportal "elektronikpraxis" erschienen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45893368)

Über den Autor

gemeinfrei; © monicaodo - stock.adobe.com; metamorworks - stock.adobe.com; Owasys; Telit; ©xb100 - stock.adobe.com; iStock/rpeters86/Vodafone; Universität Stuttgart IFF/Fraunhofer IPA/Rainer Bez