Verschillende fabrikanten van besturingssystemen, smartphones en netwerkapparatuur hebben inmiddels patches aangekondigd om de vorige week maandag ontdekte kwetsbaarheid in de WPA2-beveiliging voor WiFi-netwerken te dichten. Door het lek kan een aanvaller versleuteld verkeer inzien en in sommige gevallen zelfs manipuleren.
Mathy Vanhoef, een onderzoeker verbonden aan de KU Leuven, maakte het beveiligingsprobleem vorige week wereldkundig. Hoewel een aanvaller geen WiFi-wachtwoorden kan achterhalen en met https versleuteld verkeer ook niet zomaar kan inzien, waarschuwt Vanhoef op de website dat de gevolgen niettemin groot zijn. Alle apparaten die een correcte WPA2-implementatie hanteren, kunnen zonder patch waarschijnlijk worden getroffen door de aanval.
Voor een optimale beveiliging moeten ook routers en access points worden geüpdatet, maar het grootste deel van het probleem zit bij clients. Microsoft heeft op 10 oktober al een patch uitgebracht die het probleem voor apparaten met Windows 7, 8, 8.1 en 10 oplost. Ook Apple heeft een fix klaarstaan, die op dit moment in de bètaversies van iOS, macOS, watchOS en tvOS zit.
Toestellen die draaien op Android 6.0 en hoger zijn door een zwakke WPA2-implementatie extra gevoelig voor het beveiligingsprobleem. Google laat weten dat het inmiddels patches heeft uitgebracht in het Android Open Source Project. Het probleem wordt voor bestaande toestellen verholpen via de maandelijkse beveiligingsupdates: "Android-toestellen met een beveiligingsniveau van 6 november 2017 of nieuwer zijn beschermd tegen dit specifieke beveiligingsprobleem", zo vertelt een woordvoerder. Google's Chrome OS krijgt in de komende weken eveneens een update.
Door de manier waarop updates in Android worden uitgerold is het afhankelijk van de toestelfabrikant of en wanneer een patch daadwerkelijk aankomt op een toestel. Samsung laat weten in de komende weken een beveiligingsupdate uit te rollen, maar geeft niet aan voor welke toestellen. Ook LG kan niet precies vertellen wanneer specifieke modellen een fix ontvangen. Volgens het bedrijf is "Google op dit moment bezig met het uitrollen van patches aan telefoonmaatschappijen en fabrikanten, maar het kost tijd om dat voor alle belangrijke smartphone-modellen te doen." Wileyfox geeft aan de patch inmiddels van Google ontvangen te hebben; het bedrijf hoopt deze maand of volgende maand een update beschikbaar te stellen, ook voor toestellen van eind 2015.
Ook makers van routers en andere netwerkapparatuur zijn inmiddels begonnen met het uitbrengen van updates. TP-Link verwijst naar een statement op de website, waar de getroffen producten worden vermeld. Het bedrijf belooft deze allemaal met "hoge prioriteit" te voorzien van een patch. ASUS zegt met nadruk alle modellen te gaan patchen, maar laat weten geen tijdsindicatie te kunnen geven omdat het bedrijf moet wachten op de ontwikkelaars van de gebruikte chips. In de tussentijd kunnen klanten op de website meer informatie en advies vinden over hoe ze kunnen omgaan met het lek. Ook D-Link wacht op patches van de fabrikanten van draadloze chipsets; het bedrijf raadt klanten aan de website in de gaten te houden voor updates voor de getroffen modellen.
AVM refereert net als de andere fabrikanten aan een bericht op zijn website. Inmiddels hebben enkele apparaten al een fix gekregen, waaronder de FRITZ!WLAN Repeater 1750E en FRITZ!Powerline 1260E. Netgear raadt klanten aan de security advisory te volgen; de fabrikant zegt al fixes te hebben uitgebracht voor meerdere apparaten. Voor andere producten werkt het bedrijf nog aan een update. Linksys heeft eveneens een security advisory online gezet die informatie over het lek, de getroffen modellen en de beschikbaarheid van updates bevat. Datzelfde geldt voor Cisco.
Google, dat in de vorm van de Google WiFi sinds kort zijn eerste mesh-oplossing aanbiedt in Nederland, zegt dat het systeem binnenkort automatisch wordt geüpdatet. Ubiquiti heeft zijn draadloze accesspoints vorige week maandag van een patch voorzien. Voor mensen die custom firmware als DD-WRT of LEDE op hun router draaien, is eveneens bijgewerkte software beschikbaar.
Zyxel zegt dat slechts een beperkte groep gebruikers kan worden getroffen. Het gaat om gebruikers met zakelijke accesspoints van het bedrijf de die 802.11r Fast BSS Transition (FT) handshake ondersteunen. Een lijst daarvan is hier te vinden; die pagina vermeldt ook wanneer updates beschikbaar zijn.
Op deze plaats stond content van een externe website, deze is verwijderd om ongewenste tracking-mogelijkheden te voorkomen.
De KRACK-aanval, staande voor Key Reinstallation Attacks, maakt gebruik van een zwakheid in de 4-way handshake die clients gebruiken om verbinding te leggen met een beveiligd WiFi-netwerk. In de derde stap van de 4-way handshake komen de client en het access point een nieuwe sessiesleutel overeen. Omdat dat bericht onderweg verloren kan gaan, verzendt het access point het opnieuw als het geen ontvangstbevestiging krijgt van de client.
De KRACK-aanval maakt van deze eigenschap in het WPA2-protocol gebruik. Wanneer de aanvaller het bericht met de sessiesleutel opvangt en opnieuw blijft verzenden, herinstalleert de client steeds dezelfde sleutel, waarbij het gebruikte packetnummer wordt gereset naar de beginwaarde. Het hergebruik van de sleutel en packetnummer maakt het veel eenvoudiger om de gebruikte encryptie te doorbreken, waarna netwerkverkeer kan worden ontsleuteld. Bij gebruik van WPA-TKIP- of GCMP-encryptie kan de aanvaller bovendien ook vervalste packets injecteren.
Update 24-10-2017, 14:15:
Van D-Link ontvingen we een link naar een overzicht van getroffen producten en wanneer de tot nu toe beschikbare beveiligingspatches worden vrijgegeven.
Update 24-10-2017, 14:51:
Van Huawei ontvingen we een link naar het internationale statement van de fabrikant en een link naar de website van het Huawei Product Security Incident Response Team, waar je meer informatie over veiligheidslekken kan vinden.
Bron: Krackattacks
