Sicherheitslücken in WLAN-Protokoll veröffentlicht: Update empfohlen

Dies ist eine Warnmeldung vom Bundesamt für Sicherheit in der Informationstechnik:

Sicherheitsforscher haben mehrere Sicherheitslücken im WLAN-Protokoll aufgedeckt, die weltweit potenziell alle Geräte mit WLAN-Möglichkeit betreffen.

Die Sicherheitslücken können von einem Angreifer ausgenutzt werden, der sich in Ihrer Nähe befindet und Zugriff auf ein drahtloses Netzwerk hat, in dem auch Ihre Geräte angemeldet sind. Zumindest übergangsweise ist ein mit WPA2 geschütztes WLAN somit praktisch wie ein öffentliches Netzwerk zu bewerten.

Aktualisierung vom 17.10.2017: Microsoft informiert über die Betroffenheit gegenüber der 'Windows Wireless WPA Group Key Reinstallation' Sicherheitslücke, die von einem Angreifer, welcher sich in Reichweite eines drahtlosen Netzes (WLAN) mit WAP- oder WAP 2-Verschlüsselung befindet, ausgenutzt werden kann, um diese Verschlüsselung auszuhebeln. Microsoft veröffentlicht 'Monthly Rollup', 'Security Only' und 'Security Updates' für alle unterstützten Windows-Versionen.

Betroffen sind folgende Systeme:

• WPA2, IEEE Standard for Information Technology 802.11i
• WPA Supplicant
• Apple Mac OS X
• Debian Linux 8.9 Jessie
• Debian Linux 9.2 Stretch
• Debian Linux 10.0 Buster
• GNU/Linux
• Microsoft Windows 7 SP1 x64
• Microsoft Windows 7 SP1 x86
• Microsoft Windows 8.1 x64
• Microsoft Windows 8.1 x86
• Microsoft Windows 10 x64
• Microsoft Windows 10 x86
• Microsoft Windows 10 x64 v1511
• Microsoft Windows 10 x86 v1511
• Microsoft Windows 10 x64 v1607
• Microsoft Windows 10 x86 v1607
• Microsoft Windows 10 x64 v1703
• Microsoft Windows 10 x86 v1703
• Microsoft Windows RT 8.1
• Microsoft Windows Server 2008 SP2 x64 Server Core Installation
• Microsoft Windows Server 2008 SP2 x86 Server Core Installation
• Microsoft Windows Server 2008 SP2 x64
• Microsoft Windows Server 2008 SP2 x86
• Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
• Microsoft Windows Server 2008 R2 SP1 Itanium
• Microsoft Windows Server 2008 R2 SP1 x64
• Microsoft Windows Server 2012
• Microsoft Windows Server 2012 Server Core Installation
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2012 R2 Server Core Installation
• Microsoft Windows Server 2016
• Microsoft Windows Server 2016 x64 Server Core Installation
• Red Hat Fedora 25
• Red Hat Fedora 26
• Red Hat Fedora 27

Empfehlung: Insbesondere clientseitig bereitstehende Sicherheitsupdates sollten umgehend eingespielt werden. Falls Sie nicht sicher sind, ob der Hersteller eines Ihrer Geräte mit WLAN-Schnittstelle bereits auf die Veröffentlichung der Schwachstellen reagiert hat, verwenden Sie zur Datenübertragung ausschließlich kabelgebundene Verbindungen oder mobile Datennetze.

Um das Risiko zu minimieren, können kabellose Verbindungen zusätzlich mit einer VPN-Verschlüsselung abgesichert werden. Zum Zeitpunkt der Veröffentlichung liegen noch keine Hinweise auf Sicherheitsupdates im Endkundenbereich vor.

Einige Hersteller von Linux-Software und amerikanische Hersteller von WLAN-Routern haben bereits mit Sicherheitsupdates reagiert.

• Microsoft Sicherheitshinweise im Security Update Guide
• Schwachstelle CVE-2017-13080 (Microsoft)
• Microsoft Windows Update Seite (Internet Explorer oder Edge erforderlich)
• CERT.org Vulnerability Note VU#228519: Wi-Fi Protected Access II (WPA2) handshake traffic can be manipulated to induce nonce and session key reuse (Englisch)
• KRACK (Key Reinstallation AttaCK): Key Reinstallation Attacks Breaking WPA2 by forcing nonce reuse (Englisch)
• arstechnica Blogeintrag: Schwerwiegende Sicherheitslücken im WPA2-Protokoll ermöglichen Abhören von WLAN-Datenverkehr (Englisch)
• heise Security zum Thema 'KRACK-Attacke: Forscher stellen Angriff auf WPA2 vor'