Neue WLAN-Lücke MacStealer: Datenklau über Bande

Ein Forscherteam hat zwei neue Lücken im WLAN-Protokoll gefunden: Domien Schepers und Aanjhan Ranganathan, Studenten der Bostoner Northeastern University, und der Sicherheitsforscher Mathy Vanhoef brachten gängige WLAN-Basen (Access-Points, APs) dazu, Datenpakete (Frames) für andere Stationen aus ihren Sendepuffern (Transmit Queues) im Klartext oder mit trivialen Schlüsseln chiffriert auszuspucken. Das gelang mit einer Kombination aus MAC-Adressfälschung und der WLAN-Energiesparfunktion (Power Saving), weil der IEEE-Standard 802.11 keine kryptografische Absicherung der Power-Saving-Kommunikation zwischen Basis und Client vorsieht.

Diese "MacStealer" genannte Attacke soll Angreifern ermöglichen, Datenverbindungen anderer Clients zu übernehmen und etwa Malware via injiziertem Javascript einzuschleusen. Vanhoef, in der Security-Szene von den älteren WLAN-Lücken FragAttacks, Dragonblood und KRACK bekannt, hat eine Referenzumsetzung als Proof-of-Concept auf Github veröffentlicht.

Im zweiten Ansatz nutzen die Forscher das Queueing, um Clients selbst aus einem mit Protected Management Frames (PMF) geschützten WLAN zu werfen, sich an deren Stelle einzuklinken und so für Andere bestimmte Datenpakete abzugreifen. Details liefert der gemeinsame Aufsatz "Framing Frames: Bypassing Wi-Fi Encryption by Manipulating Transmit Queues". Schepers und Vanhoef wollen die Arbeit auf der Sicherheitskonferenz Blackhat Asia im Mai 2023 vorstellen und mögliche Gegenmaßnahmen diskutieren.

Wichtig zu wissen: Ein Angreifer muss in Reichweite von Basis und Angriffsziel sein, um Stationen attackieren zu können. Manchmal braucht er zudem den Gruppenschlüssel, den die Basis nach erfolgreicher Anmeldung mitteilt. Ferner müssen die Ziele im selben logischen Funknetz (SSID) sitzen. An einer Netzgrenze, beispielsweise zwischen internem WLAN und Gastnetz, scheitern die Attacken.

Hersteller-Reaktionen

Cisco hat als erster großer Hersteller von Netzwerkhardware Stellung genommen: Die beschriebenen Angriffe könnten gegen Cisco- und Meraki-APs erfolgreich sein. Admins sollten über die Identity Services Engine die Schrauben für Clients mit Cisco TrustSec oder Software Defined Access anziehen. Wenn Verbindungen über anfällige WLANs ausschließlich mit sicheren Transportmethoden laufen, beispielsweise TLS-verschlüsselter HTTPS-Webverkehr, bekämen Angreifer trotz erfolgreichem MacStealing keine verwertbaren Daten in die Finger.

Der Fritzbox-Fabrikant AVM erklärt seine Geräte für sicher: "Unsere Produkte sind von keinem der im Papier beschriebenen implementierungsspezifischen Punkte betroffen". Der Hersteller schätzt die Gefahr insgesamt als "recht gering" ein. AVM merkt an, dass der Denial of Service über die Power-Saving-Funktion prinzipiell alle WLAN-Geräte trifft, weil die Lücke im Standard steckt. Das Unternehmen weist darauf hin, dass es immer Wege gibt, ein Funknetz zu stören.

Lancom Systems, hiesiger Hersteller von Access-Points für Firmennetze, beleuchtet das Problem etwas differenzierter und gibt Konfigurationstipps zur Abwehr: Lancom-APs seien prinzipiell von MacStealing betroffen. Bei einem Netz mit einem einzelnen AP genüge es, in diesem Protected Management Frames (PMF) zu aktivieren. In WLANs mit mehreren Basen und individueller Authentifizierung (WPA2/3-Enterprise) solle man vertrauenswürdige und nicht vertrauenswürdige Clients in unterschiedliche Netze leiten (Multi-SSID mit VLANs). Gegen Datenlecks aus der Transmit Queue seien Lancom-APs immun. Maßnahmen gegen den Denial-of-Service über Power-Saving untersuche man derzeit.

(ea)