Microsoft hat beim Update-Dienstag am 10. Oktober ein zunächst nicht genau dokumentiertes Sicherheits-Update für alle Windows-Versionen, einschließlich Server, bereit gestellt. Erst am 16. Oktober hat Microsoft Details dazu veröffentlicht. Dabei handelt es sich um eine koordinierte Veröffentlichung etlicher Hersteller, von Cisco über Microsoft bis RedHat und Ubuntu. Die Updates beheben eine Schwachstelle ( CVE-2017-13080 ) in der Implementierung des WLAN-Protokolls WPA/WPA2, die gestern unter dem Namen „KRACK“ (Key Reinstallation Attacks) bekannt wurde. Sie betrifft die WLAN-Clients nahezu aller gängigen Betriebssysteme. Tatsächlich handelt es sich um eine Schwäche im WLAN-Protokoll selbst, also in der Spezifikation. Darin fehlen Regelungen für bestimmte Fälle, die in der normalen Praxis auftreten, aber auch bei Angriffen provoziert werden können. Dazu gehört unter anderem das erneute Installieren eines bereits benutzten WPA2-Schlüssels während einer bestehenden Verbindung. Da die Spezifikation empfiehlt, solche Schlüssel nach der ersten Installation zu löschen (überschreiben), kann beim zweiten Mal ein leerer Schlüssel installiert werden. Der Angreifer muss sich in der Nähe des potenziellen Opfers befinden, im besten Fall näher als der Access Point (Router). Er kann dann als Man-in-the-Middle (MitM) die zunächst noch verschlüsselten Datenpakete abfangen, verzögern oder sie erneut anfordern oder senden, um die besagte Situation zu schaffen, in der zum Beispiel ein leerer Schlüssel übertragen wird. Die damit „verschlüsselten“ Datenpakete kann er nun mitlesen und auch manipulieren. Dies ist eines von mehreren artverwandten Angriffsszenarien. Da die Spezifikation eine Reihe solcher Situationen nicht klar regelt, haben die meisten Hersteller bei ihrer jeweiligen Implementierung diese Fälle auch nicht mit der an sich nötigen Sorgfalt berücksichtigt. Der niederländische Informatiker Mathy Vanhoef , der die Fehler im Protokoll bereits im Frühjahr entdeckt hatte, hat sich an das US-amerikanische CERT/CC (CERT Coordination Center) gewandt, das die Meldung der Sicherheitslücken an die betroffenen Hersteller und die gemeinsame Veröffentlichung koordiniert hat. Tatsächlich handelt es sich um mindestens zehn artverwandte Lücken, die jeweils eigene CVE-Nummern haben (CVE-2017-13077 bis CVE-2017-13088). Windows-Nutzer, die das automatische Windows Update aktiviert oder die Oktober-Updates bereits anderweitig installiert haben, brauchen nichts weiter zu unternehmen. Das Update gegen die WLAN-Lücke ist dann bereits installiert. Ob für einen WLAN-Router oder Access Point ein Firmware-Update nötig und verfügbar ist, kann je nach Hersteller variieren. Laut Mathy Vanhoef sollten vor allem WLAN-Clients (PCs, Tablets, Smartphones) aktualisiert werden. Dies spräche dafür, dass möglicherweise auch manche WLAN-Repeater Updates benötigen könnten. Vanhoef gibt ferner an, eine Änderung des WLAN-Passworts sei keine Abhilfe, kein Ersatz für ein Update.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.