WPA3-Schwachstellen: WLAN-Passwort ist auch mit neuem Standard unsicher

Zwei Sicherheitsforscher haben insgesamt fünf Schwachstellen im WLAN-Authentifizierungsstandard WPA3 aufgedeckt und nun veröffentlicht, die auch die Wiederherstellung von Passwörtern ermöglichen. In der Praxis sei WPA3, das erst Mitte 2018 verabschiedet wurde, somit nicht mehr sicherer als das 14 Jahre alte WPA2.

Die neuen Schwachstellen im WPA3-Standard werden als Gruppe Dragonblood genannt. Mathy Vanhoef von der New York University Abu Dhabi und Eyal Ronen von der Tel Aviv Universität und der KU Leuven haben ihre Erkenntnisse in dem wissenschaftlichen Paper mit dem Titel „Dragonblood: A Security Analysis of WPA3’s SAE Handshake“ (PDF) und auf einer Website veröffentlicht. Ihr vernichtendes Urteil nach der Analyse der Schwachstellen lautet, dass WPA3 nicht die Standards moderner Sicherheitsprotokolle erfülle. Gerade auf günstigeren Endgeräten werden viele der Schwachstellen noch jahrelang funktionieren und womöglich nie geschlossen werden, so die Wissenschaftler. WPA3 war angetreten, um gerade mehr Sicherheit zu bieten. Vanhoef hatte bereits die sogenannte KRACK-Schwachstelle in WPA2, „Key Reinstallation Attack“, im Herbst 2017 aufgedeckt, die eine eklatante Schwachstelle offenbarte.

Dragonfly-Handshake nicht so sicher wie gedacht

Gerade der Handshake sollte mit WPA3 verbessert werden, indem ein neuer Mechanismus zum Schlüsselaustausch zum Einsatz kommt, der auf dem Diffie-Hellman-Verfahren basiert und Forward Secrecy unterstützt. Dafür wurde der „Pre-Shared-Key-Austausch“ (PSK) aus WPA2 gegen „Simultaneous Authentication of Equals“ (SAE) ausgetauscht. Die Forscher haben jedoch herausgefunden, dass beim Schlüsselaustausch, dem Dragonfly-Handshake, Lücken existieren und Daten unverschlüsselt übertragen werden, was dazu genutzt werden kann, das WLAN-Passwort herauszufinden und das Netzwerk zu kompromittieren.

Abwärtskompatibilität kann ausgenutzt werden

Eine Lücke macht sich die Abwärtskompatibilität von WPA3 zunutze, indem Netzwerke, die eigentlich WPA3 nutzen, dazu veranlasst werden, einen alten, unsicheren Schlüsselaustausch einzusetzen, bei dem dann wiederum bekannte Sicherheitslücken ausgenutzt werden können. Über Seitenkanalattacken können hingegen Teile des Passworts unverschlüsselt offengelegt werden. Wird dieser Angriff oft genug wiederholt, lässt sich so das gesamte Passwort erhalten.

Wi-Fi Alliance sieht wenig Gefahr

Die Wi-Fi Alliance hat sich bereits zu den Schwachstellen geäußert und sieht nur sehr wenige frühe Implementierungen des WPA3-Standards betroffen. Zudem hätten die Hersteller der wenigen betroffenen Geräte bereits damit begonnen, diese mit Patches zu schließen. Ein Ausnutzen der Schwachstellen in der Praxis konnte bisher nicht identifiziert werden. Wichtig sei dennoch, ein mindestens 13 Zeichen langes, sicheres Passwort zu verwenden.

Recently published research identified vulnerabilities in a limited number of early implementations of WPA3-Personal, where those devices allow collection of side channel information on a device running an attacker’s software, do not properly implement certain cryptographic operations, or use unsuitable cryptographic elements. WPA3-Personal is in the early stages of deployment, and the small number of device manufacturers that are affected have already started deploying patches to resolve the issues. These issues can all be mitigated through software updates without any impact on devices’ ability to work well together. There is no evidence that these vulnerabilities have been exploited.

Stellungnahme der Wi-Fi Alliance

Lancom kann nur teilweise Abhilfe schaffen

Lancom hat bereits Informationen zu den Schwachstellen und eine erste Hilfestellung für Router-Besitzer veröffentlicht. Lancom-Router sind demnach nur von der Schwachstelle im Kompatibilitätsmodus betroffen, die auch nur durch eine neue Revision des WPA3-Standards beseitigt werden könne und nicht durch eine neue Firmware – dies widerspricht den Aussagen der Wi-Fi Alliance, wonach die Lücken unmittelbar geschlossen werden können. Durch die beschriebenen Seitenkanalattacken sollen die Router von Lancom jedoch nicht angreifbar sein.