WPA2-Lücke: ARP-Spoofing im WLAN
Bei der vor kurzen bekannt gewordenen Lücke "Hole196" in WPA/WPA2 Enterprise gesicherten WLANs handelt es sich im Kern um eine ARP-Spoofing-Attacke, wie sie aus Kabel-Netzwerken bekannt ist. Ausnutzen lässt sie sich aber nur unter bestimmten Bedingungen.
Ein Mitarbeiter der Firma Airtight hat gegenüber der US-Website Ars Technica weitere Details zur Hole196 genannten Lücke in WPA/WPA2 Enterprise (IEEE 802.11i) beschrieben. Im Kern handelt es sich um das bereits aus Kabel-Netzen bekannte ARP-Poisoning respektive ARP-Spoofing. Ein Angreifer verseucht dabei den ARP-Cache seiner Opfer mit gefälschten Angaben und leitet darüber Daten zu sich um. Die beschriebene Attacke zielt nicht auf die Verschlüsselung und die Authentifizierung von WPA/WPA2 Enterprise, das auf den IEEE-Standards 802.11i, 802.11x sowie EAP (Extensible Authentication Protocol) beruht. Sie lässt sich zudem nur dann ausnutzen, wenn der Angreifer bereits Zugang zum Firmen-WLAN hat.
Während in einem WPA/WPA2-WLAN mit Pre-shared Key (PSK) alle Clients den gleichen Master-Key besitzen, steuert WPA/WPA2 Enterprise den Zugang der Clients mittels IEEE 802.1x. Jeder Client oder Nutzer muss sich dort mit einer eigenen Benutzernamen/Passwort-Kombination oder einem Zertifikat gegenüber der Basisstation ausweisen. Anschließend hat jeder angemeldete Benutzer dort einen eigenen Master-Key, über den wiederum weitere Schlüssel (Pairwise Temporal Keys, PTK) für die Datenübertragung erzeugt werden. Laut IEEE-Spezifikation können Basisstation und WLAN-Client über den PTK auch erkennen, ob Sender- und Empfängeradressen bei der Datenübertragung gefälscht wurden.
Dieses Verhalten gilt hingegen nicht für Schlüssel, die den Broad- und Multicast-Verkehr in solchen WLANs verschlüsseln. Diese Group Temporal Keys (GTK) sind für alle Clients eines WLANs (BSSID) identisch, sodass der Ursprung von Broadcast-Pakete nicht überprüft werden kann. Access Points ignorieren empfangene Broad- oder Multicast-Pakete. Laut Spezifikation dürfen nur Basisstationen solche Broadcasts senden. Clients können jedoch Broadcast-Pakete mit gefälschter Absenderadresse (etwa der des APs) erzeugen.
An dieser Stelle setzt das ARP-Spoofing an. Ein Angreifer flutet gefälschte ARP-Pakete zu den Clients, die deren ARP-Cache überschreiben und sie dazu veranlassen, eine andere als die vorgesehene Standard-Gateway für die Datenübertragung zu nutzen. Anschließend läuft der Verkehr weiterhin über den Access Point, der die empfangenen Pakete entschlüsselt und vor dem Senden an die Angreifer-Gateway mit dessen PTK neu verschlüsselt weiterleitet. Auf dem vorgetäuschten Gateway lassen sich nun alle Daten mitlesen.
Laut Airtight lässt sich der beschriebene Angriff aber nicht sehr einfach durchführen. Der Angreifer muss nicht nur Funkkontakt zur Basisstation haben und dort angemeldt sein, er muss sich auch in Reichweite der anderen WLAN-Clients befinden. Isoliert die Basisstation die Clients im WLAN, lassen sich damit nur One-Way-Exploits nutzen. Außerdem lässt sich die Attacke durch Einbruchserkennungssysteme (IDS/IPS) nachträglich aufspüren, da diese die Veränderung bei der Zuordnung zwischen Hardware- und IP-Adresse erkennen sowie die Verkehrsumleitung über andere Adressen registrieren können. (rek)
