‘Krack-aanval treft alle moderne wifinetwerken door lek in wpa2-standaard’
Onderzoekers hebben maandag de details van de Krack-aanval gepubliceerd. Uit het onderzoek blijkt dat de aanval een risico vormt voor alle moderne wifinetwerken en dat Android-en Linux-apparaten het zwaarst zijn getroffen.
De onderzoeker die verantwoordelijk is voor de ontdekking van het lek, Mathy Vanhoef van de KU Leuven, heeft zijn bevindingen beschreven in een paper en op een speciale site. Daar meldt hij dat het gaat om een kwetsbaarheid in wpa2, waarbij de Krack-aanval zich richt op de zogenaamde 4-way handshake die wordt uitgevoerd als iemand verbinding met een wifinetwerk wil maken. Deze stelt een aanvaller in staat om gevoelige informatie te onderscheppen, zoals wachtwoorden en e-mailberichten. Dat is voornamelijk een risico bij onversleutelde http-verbindingen, al zijn er volgens Vanhoef ook risico’s voor https omdat in het verleden is gebleken dat ook deze techniek te omzeilen is. De onderzoeker demonstreert echter geen aanval op https. Het achterhalen van het wifiwachtwoord is niet mogelijk.
Bij de aanval gaat het om een key reinstallation attack. Zodra een client, bijvoorbeeld een smartphone, verbinding wil maken met een wpa2-netwerk, krijgt hij een encryptiesleutel nadat de derde stap van de 4-way handshake is afgerond. Deze sleutel gebruikt de client om informatie te versleutelen. Als het accespoint, bijvoorbeeld een router, geen bevestiging ontvangt dat de client de sleutel heeft gekregen, stuurt hij hem opnieuw. Elke keer dat de client een dergelijk bericht ontvangt, installeert hij dezelfde sleutel opnieuw. Daarbij worden een pakketnummer of ‘nonce‘ en de receive replay counter steeds opnieuw ingesteld. Volgens Vanhoef is de versleuteling van de verbinding aan te vallen door het derde bericht van de 4-way handshake te onderscheppen en opnieuw te verzenden. Hierdoor kan een aanvaller het hergebruik van een nonce afdwingen. Daarvoor is wel een man-in-the-middle-positie vereist, waarbij de aanvaller een kopie van een accesspoint op een ander kanaal opzet, die hetzelfde mac-adres heeft.
Daardoor is het bijvoorbeeld mogelijk om pakketten opnieuw te verzenden of te ontsleutelen als aes-ccmp-encryptie wordt toegepast. Verder zijn tcp-syn-pakketten te ontsleutelen, waardoor een tcp-verbinding over te nemen is. Dit betekent dat bij gebruik van aes-ccmp uiteindelijk kwaadaardige code geïnjecteerd kan worden. Bij gebruik van wpa-tkip of gcmp is het ook mogelijk om pakketten te injecteren en te vervalsen.
De aanval zou ook grote gevolgen hebben voor Linux- en Android-apparaten. Die zouden in veel gevallen gebruikmaken van de wificlient wpa_supplicant, die vanaf versie 2.4 kwetsbaar is voor de aanval. Door de aanval kunnen clients gedwongen worden een encryptiesleutel te gebruiken die alleen uit nullen bestaat, aldus Vanhoef. Daardoor is draadloos netwerkverkeer eenvoudig te onderscheppen en te wijzigen. Alle Android-toestellen met versie 6.0 of hoger van het mobiele besturingssysteem zouden kwetsbaar zijn. Windows en iOS zijn niet kwetsbaar via een aanval op de 4-way handshake, maar wel via de group key handshake, waardoor een aanvaller bepaalde frames kan herhalen.
Vanhoef legt uit dat de aanval zich voornamelijk op clients richt in plaats van op accesspoints. Niet alleen wpa en wpa2 zijn kwetsbaar, maar onder meer ook PeerKey en tdls. Het uitvoeren van patches zou op een backwards compatible manier mogelijk zijn, waardoor het niet nodig is om wpa2 in zijn geheel te vervangen. Zo zou een gepatchte client bijvoorbeeld nog wel met een ongepatchte accesspoint kunnen communiceren, illustreert Vanhoef. Het overstappen naar wep in afwachting van patches is een slecht idee, omdat die techniek al geruime tijd niet meer veilig is. De onderzoekers stelden fabrikanten rond 14 juli op de hoogte van hun bevindingen. Daardoor zouden patches al redelijk snel uit moeten kunnen komen. Voor thuisgebruikers zou de nadruk moeten liggen op het patchen van clients en niet van routers.
(Bron: Tweakers.net)