SSID Confusion Angriff verbindet WLAN-Clients mit falschem Netzwerk

Sicherheitsforscher der DistriNet-Gruppe der KU Leuven haben eine gravierende Schwachstelle in der Authentifizierung von WLAN-Netzwerken entdeckt. Diese Sicherheitslücke, die als „SSID-Confusion“ bezeichnet wird, ermöglicht es Angreifern, WLAN-Clients dazu zu bringen, sich mit einem anderen geschützten Netzwerk zu verbinden, als ursprünglich beabsichtigt. Dies geschieht trotz der Nutzung von Sicherheitsprotokollen wie WPA2 und WPA3.

In ihrem Forschungsbericht, der auf der 17. ACM-Konferenz für Sicherheit und Datenschutz in drahtlosen und mobilen Netzwerken (WiSec ’24) vorgestellt wurde, erklären die Forscher, dass die Verwundbarkeit auf einem Designfehler im IEEE 802.11-Standard basiert. Dieser Standard gewährleistet nicht immer die Authentifizierung des SSID (Service Set Identifier), des Namens des WLAN-Netzwerks. Dies führt dazu, dass ein Client möglicherweise eine falsche SSID anzeigt, obwohl er tatsächlich mit einem anderen Netzwerk verbunden ist.

Die Forscher demonstrierten die praktische Relevanz dieses Angriffs, indem sie zeigten, dass alle getesteten Geräte anfällig sind. Besonders problematisch ist dies in Szenarien, in denen verschiedene SSIDs, aber identische Anmeldeinformationen für unterschiedliche Frequenzbänder (z.B. 2,4 GHz und 5 GHz) verwendet werden. Angreifer können Clients dazu bringen, auf weniger sichere Netzwerke heruntergestuft zu werden oder VPNs (Virtual Private Networks) automatisch zu deaktivieren, was zu einer potenziellen Überwachung des Datenverkehrs führen könnte.

Der Angriff besteht darin, dass der Angreifer ein bösartiges Zugangspunkt (AP) erstellt, das sich als das gewünschte Netzwerk ausgibt. Der Client denkt, er verbindet sich mit einem vertrauten Netzwerk (z.B. “TrustedNet”), während er tatsächlich mit einem falschen Netzwerk (z.B. “WrongNet”) verbunden ist. Dies wird erreicht, indem der Angreifer die SSID in den Kommunikationspaketen umschreibt, während er die Authentifizierungsprotokolle des eigentlichen Netzwerks nutzt.

Nicht alle Authentifizierungsprotokolle sind gleichermaßen betroffen. Während WPA1/2 und bestimmte Varianten von WPA3 (SAE-const) gegen diesen Angriff resistent sind, sind ältere Protokolle wie WEP, bestimmte WPA3-Varianten (SAE-loop), sowie Enterprise-Netzwerke, die auf 802.1X / EAP basieren, anfällig.

Um diese Sicherheitslücke zu schließen, schlagen die Forscher mehrere Maßnahmen vor:

  1. Erweiterter Beacon-Schutz: Durch Aktivierung des Beacon-Schutzes können Clients die Integrität von empfangenen Beacons nach der Verbindung zum Netzwerk überprüfen.
  2. Vermeidung der Wiederverwendung von Anmeldeinformationen: Netzwerke sollten verschiedene Anmeldeinformationen für verschiedene SSIDs verwenden, um eine Verwirrung zu vermeiden.
  3. Aktualisierung des IEEE 802.11-Standards: Die Authentifizierung des SSID sollte immer Bestandteil der Authentifizierungsprotokolle sein, um diese Art von Angriffen dauerhaft zu verhindern.

Related Posts

MySQL: LOAD DATA INFILE führt zu Dateizugriff, UDF zu Remote Code Execution

MariaDB und MySQL sind weit verbreitete Datenbanksysteme, die in zahlreichen Anwendungen und Diensten verwendet werden. Trotz ihrer Beliebtheit sind sie nicht ohne Sicherheitsrisiken. Besonders kritisch sind die Funktionen LOAD DATA INFILE und die Möglichkeit, Server-Side Request Forgery (SSRF) sowie Remote Code Execution (RCE) durch User Defined Functions (UDF) durchzuführen. Dieser Bericht beleuchtet diese Schwachstellen und vergleicht die Sicherheit auf verschiedenen Betriebssystemen.

Read More

DNS-Tunneling: verdeckte Kommunikation und Tracking möglich

Eine Fallstudie von Unit42 zeigt zwei Anwendungen von DNS-Tunneling die über die bisher bekannten Verwendungen von DNS-Tunneling für Command-and-Control (C2) und virtuelle private Netzwerke (VPN) hinausgehen.

Read More

Trojaner nutzt GoTo Meeting als Rust Shellcode Loader

Laut einer Malware Studie von GData wird die Anwendung GoTo Meeting ausgenutzt, um Malware auf Windows zu installieren. Threat Actors nutzten dabei GoTo Meeting zur Verbreitung des Remcos RAT (Remote Access Trojan). Angreifer verwenden dabei Dateien, wie Software-Setup-Dateien und Steuerformulare, oft mit Dateinamen in russischer und englischer Sprache, um Opfer anzulocken. Der Bericht zeigt folgende Infektionskette auf:

Read More