2017-10-17

Information to Key Reinstallation Attacks on WPA2 (CVE-2017-13077)

An explanation of the attacks and an assessment of the resulting vulnerabilities for members of KIT

Bildunterschrift bearbeiten

Wer ist betroffen?

  • Praktisch alle WLAN-Clients (Handys, Laptops, Fernseher, Kameras, aller Hersteller)
  • Die meisten Access-Points
  • Sowohl das WLAN zu Hause als auch die Netze KIT, eduroam sowie alle anderen WLAN-Netze. ('WPA2-PSK' und 'WPA2-Enterprise')
  • Es müssen alle Clients aktualisiert werden

Was kann passieren?

  • In letzter Instanz muss man davon ausgehen, dass die im WLAN übertragenen Daten mitgelesen werden können. Damit ist die Situation nicht anders als bei offenen Hot-Spots wie beispielsweise KA-WLAN oder Freifunk.
  • HTTPS/TLS- und SSH/RDP-verschlüsselte Verbindungen, also der Zugriff auf Online-Banking, E-Mail und co. sowie Serverzugriffe sind natürlich weiterhin in sich selbst abgesichert. Dann kann ein Angreifer zwar fleißig mitlauschen, ggf. auch Daten einfügen, aber durch die eingesetzten Protokolle sind diese Verbindungen trotzdem sicher verschlüsselt; der Inhalt bleibt verborgen und die Veränderung fällt auf. Selbiges gilt für VPN-Verbindungen.

Was kann ich als Anwender tun?

  • Verwenden Sie nur verschlüsselte Web-Verbindungen, erkennbar am 'Schloss-Symbol' im Browser. Die Verbindung zu den wichtigen KIT-Diensten wie u.a. Mail, ILIAS, Campus-Portal, Content Management System und Shibboleth wird automatisch verschlüsselt und sollte das 'Schloss' in der Adresszeile zeigen.
  • Achten Sie beim Zugriff auf Server darauf, dass der 'Key' des Servers sich nicht plötzlich ändert.
  • Installieren Sie schnellstmöglich die zur Verfügung gestellten Aktualisierungen des Herstellers Ihres Gerätes.

Was kann ich als ITB tun?

  • Betreiben Sie keine eigenen WLAN-Netzwerke.
  • Informieren Sie Ihre Anwender über Aktualisierungen für deren Geräte und aktualisieren Sie die von Ihnen verwalteten Geräte.

Wo erhalte ich die angesprochenen Aktualisierungen?

  • Aktivieren Sie die automatischen Updates Ihres Betriebssystems.
  • Microsoft: Das Update ist Bestandteil des Oktober-Patches vom letzten Donnerstag. Sofern automatische Updates aktiviert sind, sollte er schon installiert sein. Starten Sie ggf. Ihr Gerät einmalig neu.
  • Apple: Es gibt eine Beta-Version des Updates. Mit einer Auslieferung für iPhone und Laptops ist in den kommenden Wochen zu rechnen.
  • Android: Google stellt ein Update zur Verfügung, jedoch brauchen die meisten Hersteller Wochen bis Monate, um es auf die Geräte anzupassen. Gerade Mobilgeräte, die nicht zu den Top-Geräten von Google, Samsung, LG, BlackBerry und Nokia gehören, erhalten oft gar keine Updates. AnwenderInnen sollten fortan wohl jedes WLAN als 'offen' betrachten und ggf. dauerhaft auf VPN-Lösungen und verschlüsselte Websiten ausweichen. Erfahrene(!) AnwenderInnen können ggf. Community-gepflegte Android-Versionen wie LineageOS einsetzen. Beachten Sie hierbei jedoch auch die Garantiebedingungen des Herstellers.
  • Linux: Alle größeren Distributionen stellen bereits aktualisierte Pakete wie das 'wpa_supplicant' zur Verfügung. Diese werden meist auch automatisch eingespielt.
  • 'WLAN-Router' im Heimbereich: Die verwundbare Technik 802.11r ist oft nicht sinnvoll und daher deaktiviert. Viele Hersteller bieten trotzdem bereits Patches an. Eine englische Auflistung findet sich hier:

Wo finde ich weitere Informationen?

Besteht Grund zur Panik?

Wir können die vom BSI geäußerte Empfehlung, bis auf weiteres auf Online-Banking und Co. im WLAN zu verzichten, nicht vollständig nachvollziehen. HTTPS/TLS-verschlüsselte Verbindungen sind weiterhin sicher. Behandeln Sie jedes WLAN, als wäre es ein offener HotSpot und achten Sie auf 'das grüne Schloss' im Browser und/oder setzen Sie VPN-Lösungen ein.

 

Lüth, Hendrik (SCC)