Wi-Fi gebruikers kwetsbaar door lekken in WPA2-beveiliging

18 oktober 2017

Een Belgische onderzoeker heeft een lek in het Wi-FI beveiligingsprotocol genaamd “WPA2“, beschrevenen haalt met deze berichtgeving sinds gisteren de krantenkoppen.

Het lek heeft de naam KRACK gekregen wat een afkorting is voor “Key Reinstallation Attacks”. Een “kwaadwillende” kan met deze kennis in theorie draadloos verkeer manipuleren en afluisteren en zo toegang krijgen tot wachtwoorden, e-mail en andere vertrouwelijke data.

Naast veel, terecht, verontrustende berichten in de media rondom dit lek, is er ook positiever nieuws te melden. De ontdekker van het lek heeft enkele weken geleden fabrikanten al op de hoogte gesteld van de aanstaande publicatie en ze op deze wijze de kans gegeven hun producten middels een software update bij te werken. Prominente fabrikanten, waaronder Microsoft en Cisco hebben inmiddels actie genomen welke door ons op klantsystemen en netwerken is gedistribueerd. Wij gaan ervan uit, dat waar vereist ook andere leveranciers op korte termijn updates beschikbaar zullen stellen. Wij volgen de berichtgeving ten aanzien van de merken die Constant IT voert op de voet en zullen passende actie nemen.

Aanvullend goed nieuws is dat zowel Windows als het mobiele iOS besturingssysteem van Apple verminderd kwetsbaar zijn. Gebruikers met Android telefoons lijken vooralsnog de grootste risicodoelgroep te zijn en vooral als deze actief zijn in grote publieke- en zakelijke Wi-Fi omgevingen een relatief gemakkelijk doelwit. Gebruikers in “thuis” omgevingen zijn op papier minder kwetsbaar mede omdat de aanvaller zich binnen het bereik van het netwerk moet bevinden om het verkeer te kunnen onderscheppen. In alle gevallen geldt dat de aanvaller niet daadwerkelijk verbonden hoeft te zijn met het Wi-Fi om gebruik te kunnen maken van het lek in het protocol. Aanpassen of versterken van het actuele Wi-Fi wachtwoord is hiermee dus geen noodzaak noch oplossing.

De website security.nl heeft enkele veel gestelde vragen onder elkaar gezet die wij graag met u delen. Heeft u aanvullende vragen; neem vooral contact met ons op. Uw accountmanager of onze servicedesk staat u graag te woord.

De aanval richt zich tegen de 4-way handshake van het WPA2-protocol. Deze handshake wordt uitgevoerd als een client verbinding met een beveiligd wifi-netwerk wil maken en wordt gebruikt om te bevestigen dat de client en het access point over de juiste inloggegevens beschikken. Tegelijkertijd wisselt de 4-way handshake een encryptiesleutel uit die zal worden gebruikt om al het verkeer dat volgt te versleutelen. Vanhoef ontwikkelde een ‘key reinstallation attack’ (KRACK) waarbij een aanvaller het slachtoffer een al gebruikte sleutel laat installeren. Hierdoor worden bepaalde waarden gereset waardoor de WPA2-beveiliging kan worden aangevallen.

In principe zijn alle wifi-apparaten kwetsbaar, aldus Vanhoef. De aanvallen die hij ontwikkelde richten zich alleen op clients (smartphones, laptops, etc.) en niet op access points.

Een aanvaller kan met WPA- en WPA2-beveiligd verkeer ontsleutelen. Zo is het onder andere mogelijk om de inhoud van http-verkeer te onderscheppen, cookies te stelen en tcp-verbindingen te kapen. In het ergste geval is het mogelijk om kwaadaardige code aan http-connecties toe te voegen. Een aanvaller kan zo ransomware of malware op de website injecteren die het slachtoffer bezoekt.

Om de aanval uit te kunnen voeren moet de aanvaller eerst een man-in-the-middle positie tussen het slachtoffer en het echte wifi-netwerk zien in te nemen. Deze positie laat de aanvaller nog geen wifi-verkeer ontsleutelen. Het zorgt er alleen voor dat de aanvaller versleuteld verkeer kan vertragen, blokkeren of versleutelen. De mogelijkheid om wifi-pakketten te vertragen en blokkeren wordt gebruikt om de key reinstallation attack uit te voeren. Pas hierna kan het wifi-verkeer worden ontsleuteld.

Het belangrijkste advies is om beschikbare updates te installeren. Vanhoef stelt dat zowel het access point als de client moeten zijn gepatcht om tegen alle aanvallen bescherming te bieden. Daarnaast biedt het gebruik van https (ssl/tls) en een vpn-verbinding bescherming tegen een eventuele aanval. De aanval kan namelijk alleen de WPA- of WPA2-beveiliging ongedaan maken. Het via https of een vpn versleutelde verkeer zal voor de aanvaller nog steeds niet toegankelijk zijn. Inmiddels maken steeds meer websites gebruik van https, wat zoals gezegd de mogelijkheden van een aanvaller beperkt.

De aanval is met name tegen deze besturingssystemen ‘catastrofaal’ en geeft een aanvaller de mogelijkheid om het verkeer naar Android- en Linux-systemen te ontsleutelen en te manipuleren. In het onderzoeksrapport stelt Vanhoef dat met name gebruikers van Android 6.0 zeer kwetsbaar zijn, maar op de website over de aanval spreekt hij over Android 6.0 en nieuwer.

Nee, Vanhoef ontdekte tien verschillende kwetsbaarheden in het WPA/WPA2-protocol.

Volgens cijfers van WiGLE is 59,8 procent van de wifi-netwerken met WPA2 beveiligd, terwijl WPA door 7 procent wordt gebruikt.

Nee, er zijn nog geen aanvallen waargenomen. Jaren geleden werd echter de WEP-beveiliging van wifi-netwerken gekraakt en dat resulteerde in allerlei hacktools. Microsoft stelt in het eigen beveiligingsbulletinover één van de kwetsbaarheden dat misbruik “minder waarschijnlijk” is.