Heartbleed-Lücke: Unternehmens-WLANs potenziell angreifbar

Ein Security-Experte hat eine neue Methode gefunden, wie sich die Heartbleed-Lücke von OpenSSL in Unternehmens-WLANs ausnutzen lässt.

Der Security-Experte Luis Grangeia hat neue Methoden gefunden, die Heartbleed-Sicherheitslücke in OpenSSL auszunutzen....

Möglicherweise sind WLANs (Wireless LANs) von Unternehmen erhöhten Risiken ausgesetzt. Auch mit dem WLAN verbundene Geräte könnten Opfer einer neuen Welle an Heartbleed-Angriffen werden.

Bekannt wurde die kritische Security-Lücke Heartbleed im April. Sie ist ein Fehler in der Verschlüsselungs-Bibliothek OpenSSL und könnte bis zu 64 KByte an Speicher auf einem verwundbaren Client oder Server offen legen. Dazu gehören auch Schlüssel für X.509-Zertifikate, Authentifizierungs-Informationen und andere Kommunikation, die eigentlich durch das Open-Source-Verschlüsselungs-Projekt geschützt sein sollen.

Ausgelöst wurde der Heartbleed-Fehler durch einen fehlenden Bounds-Check in der TLS-Heartbeat-Erweiterung. Man dachte, dass sich der Fehler nur über TCP-Verbindungen und nach dem TLS-Handshake ausnutzen lässt. Allerdings hat Luis Grangeia, ein Security-Experte der in Portugal beheimateten Consulting-Firma Sysvalue, neue Möglichkeiten gefunden, die OpenSSL-Schwachstelle auszunutzen.

Schon in einem Blog-Eintrag am 30. Mai 2014 hat Grangeia Details über eine Machbarkeitsstudie (Proof-of-Concept) mit Spitznamen Cupid veröffentlicht. Sie entblößt TLS-Verbindungen über EAP (Extensible Authentication Protocol). Das erlaubt den Einsatz von Authentifizierungs-Mechanismen wie zum Beispiel Smart Cards und Einmal-Passwörtern via WLAN. Grangeia erläuterte, dass die EAP-Mechanismen möglicherweise von Cupid betroffen sind. Dazu gehören TLS, im Speziellen EAP-PEAP, EAP-TLS und EAP-TTLS.

Cupid ist in Form von zwei Software-Patches auf GitHub verfügbar. Sie modifizieren das Linux-Betriebssystem. Grangeia erklärte, dass ein Angriff funktionieren würde, wenn man entweder den Client oder den Server via TLS ähnlich angreift, wie das auch schon bei der ursprünglichen Heartbleed-Lücke der Fall war. Cupid ist laut Grangeia nicht davon abhängig, dass ein Angreifer Authentifizierungs-Informationen an der Hand hat. Die Security-Lücke wird ausgelöst, bevor das Passwort benötigt wird.

Grangeia hat außerdem darauf hingewiesen, dass Cupid keine vollständig hergestellte TLS-Verbindung benötigt. Es müssen auch keine Schlüssel oder Zertifikate ausgetauscht werden.

„Um anfällige Clients auszunutzen, lässt sich hostapd (inklusive Cupid Patch) verwenden. Damit können Sie ein 'böses' Netzwerk einrichten. Sobald der verwundbare Client eine Verbindung versucht und eine TLS-Verbindung anfordert, sendet hostapd schädliche Heartbeat-Anforderungen und löst damit die Security-Lücke aus.“, schreibt Grangeia in seinem Beitrag. „Wollen Sie verwundbare Server ausnutzen, können Sie wpa_supplicant mit dem Cupid Patch verwenden. Wir fordern somit eine Verbindung zu einem verwundbaren Netzwerk an und senden Heartbeat-Anfragen, direkt nachdem die TLS-Verbindung etabliert ist.“, erklärt Grangeia.

Bisher wurden mit Cupid noch nicht genug Tests durchgeführt. Aus diesem Grund ist es unklar, welche Details sich damit aus dem Speicher verwundbarer Systeme enthüllen lassen, schreibt Grangeia. Er vermutet allerdings, dass sich wahrscheinlich die für die TLS-Verbindung verwendeten privaten Schlüssel und Authentifizierungs-Informationen durch so einen Angriff extrahieren lassen.

Grangeia hat bestätigt, dass sich alle Standard-Installation von wpa_supplicant, hostapd und freeradius durch Cupid ausnutzen lassen. Das gilt zumindest für Systeme, die Ubuntu mit einer fehlerhaften Version von OpenSSL enthalten. Android-Anwender, die Version 4.1.0 oder 4.1.1 mit einer anfälligen Implementierung von OpenSSL betreiben, sind laut Grangeia möglicherweise ebenfalls durch Cupid angreifbar. Der Grund ist, dass alle Android-Versionen wpa_supplicant verwenden, um sich mit drahtlosen Netzwerken zu verbinden.

Home-Router sind sicher, da diese in der Regel keine EAP-Mechanismen verwenden, bemerkt Grangeia. Das gilt allerdings nicht für Unternehmens-Netzwerke. Diese sind vermutlich angreifbar.

„Haben Sie in Ihrme Unternehmen  WLAN-Router im Einsatz, sollten Sie sich dieses Problem genauer ansehen. Die meisten gemanagten WLAN-Umgebungen verwenden EAP-basierte Authentifizierungs-Mechanismen. Einige Firmen nutzen außerdem OpenSSL. Sie sollten Ihr Equipment testen lassen oder den Anbieter kontaktieren, um weitere Informationen zu erhalten.“, schreibt Grangeia. „Weiterhin sollten Sie das Problem genauer unter die Lupe nehmen, wenn Sie irgendeine Form von EAP-Authentifizierungs-Mechanismus in Ihrem Unternehmens-Netzwerk einsetzen. Behalten Sie im Hinterkopf, dass auch durch  802.1x-Zugriff kontrollierte  drahtgebundene Netzwerke von diesem Problem betroffen sein könnten.“, warnt Grangeia.

Kevin Bocek, Vize-Präsident von Security Strategy und Threat Intelligence des Security-Anbieters Venafi bestätigt, dass Cyberkriminelle mithilfe von Cupid möglicherweise private Schlüssel und digitale Zertifikate über Router abgreifen können. Sie würden dafür kein gültiges Passwort brauchen.

„Möglicherweise war das die erste Variante des Heartbleed-Fehlers. Mit Sicherheit wird es nicht die letzte sein.“, sagte Bocek. „Böswillige Hacker wissen, dass Schlüssel und Zertifikate das Portfolio ihrer Toolkits aufwerten. Aus diesem Grund werden Sie die Sicherheitslücke ausnutzen bis Unternehmen diese komplett inventarisiert haben und wissen, wo sie sich befinden.“, schlussfolgerte Bocek.

Artikel wurde zuletzt im Juni 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close