Skip to content

WPS-Schwachstelle gefährdet WLANs

Eine Design-Schwachstelle im Wi-Fi Protected Setup (WPS) gefährdet alle betroffenen Netze - auch wenn die die eigentlich sicheren WPA/WPA2-Standards zur Verschlüsselung und Authentifizierung einsetzen. Bildlich gesprochen, haben diese WLANs außer einer stabilen Tresortür am Haupteingang ein wackliges Scheunentor als Hintertür. Bevor Sie weiterlesen, sollten Sie daher prüfen, ob Ihr Access Point oder WLAN Router WPS mit PIN-Eingabe unterstützt und diese Funktion ggf. ausschalten. Warum, können Sie danach in Ruhe nachlesen, ohne befürchten zu müssen, dass in der Zwischenzeit jemand in Ihr WLAN eindringt.

Wi-Fi Protected Setup (WPS) im Überblick

Das von der WiFi Alliance entwickelte Wi-Fi Protected Setup (WPS) dient dem einfachen Hinzufügen von Geräten zu einem WLAN. Primär gibt es dafür zwei Ansätze: "PIN entry" und "Push Button Configuration". Das "PIN entry"-Verfahren ist in allen Geräten, die WPS unterstützen und von der Wifi Alliance zertifiziert werden sollen, zwingend erforderlich, während die "Push Button Configuration" optional ist.

Beim "PIN entry"-Verfahren wird von einem Gerät, dass sich dem WLAN anschließen möchte, eine eindeutige PIN benötigt. Die PIN kann wahlweise fest vorgegeben und z.B. auf einem Aufkleber auf dem Gerät angegeben oder dynamisch erzeugt und auf einem Display des Geräts ausgegeben werden. Die PIN soll sicher stellen, dass nur das gewünschte Gerät zum WLAN hinzugefügt wird.
Ein sog. "Registrar Device", z.B. ein Access Point oder WLAN-Router, erkennt, wenn ein neues WLAN-Gerät in Reichweite kommt und fordert den Benutzer zur Eingabe der PIN auf, wenn das Gerät zum WLAN hinzugefügt werden soll. Daraufhin werden dem Gerät die notwendigen Daten zur Konfiguration mitgeteilt.
Im einfachsten Fall ist die PIN auf einem Aufkleber auf dem "Registrar Device" angebracht, sie muss dann beim neu hinzuzufügenden Gerät eingegeben werden.

Bei der "Push Button Configuration" (PBC) werden die neuen Geräte nach Drücken eines Knopfs am "Registrar Device" zum WLAN hinzugefügt. Nach Drücken des Knopfs kann sich für die Dauer von 2 Minuten jedes Gerät in Reichweite mit dem WLAN verbinden - einschließlich evtl. vorhandener bösartiger Geräte, z.B. dem Notebook eines Angreifers (zu Ausnahmen siehe unten). Der Knopf kann sowohl als tatsächlicher Taster als auch als Softwarelösung realisiert werden.

Als weitere Konfigurationsmöglichkeit können die notwendigen Daten optional über "Near Field Communication" (NFC) ohne PIN-Eingabe auf neue Geräte übertragen werden. Die NFC-Methode ist für das folgende aber uninteressant.

Die Schwachstelle in WPS

Die von Stefan Viehböck gefundene Schwachstelle befindet sich in der "PIN entry"-Methode. Da es außer der auf dem neuen Gerät einzugebenden PIN keine Authentifizierung gibt, sind prinzipiell Brute-Force-Angriffe möglich. Zusätzlich erleichtert ein Design-Fehler in der WPS-Spezifikation den Angreifern die Arbeit.

Eine PIN besteht bei WPS üblicherweise aus acht Ziffern, es sind aber auch vierstellige PINs möglich. Daher prüft der für die Übermittlung der Konfigurationsdaten zuständige Registrar, i.A. der Access Point oder WLAN-Router, die ersten vier Ziffern direkt nach deren Empfang und sendet ggf. sofort eine Fehlermeldung. Das gleiche passiert, wenn die restlichen vier Ziffern empfangen wurden.

Je nachdem, wann der Angreifer die Fehlermeldung empfängt, weiß er also, ob schon die erste Hälfte der PIN falsch war oder erst die zweite. Damit reduziert sich die notwendige Anzahl an Versuchen von 108 (= 100.000.000) auf 104 + 104 (= 20.000).

Da die 8. Stelle der PIN eine Prüfsumme der ersten sieben Stellen ist, sind sogar nur maximal 104 + 103 (= 11.000) Versuche notwendig, um die korrekte PIN zu ermitteln.

Erschwerend kommt hinzu, dass viele Geräte keinerlei Schutz vor Brute-Force-Angriffen wie z.B. eine Beschränkung der Anzahl möglicher Fehlversuche, besitzt.

Wurde eine korrekte PIN gesendet, übermittelt der Registrar die notwendigen Konfigurationsinformationen samt des WPA/WPA2-Passworts. Damit hat der Angreifer Zugriff auf das WLAN.

Zwei Tools veröffentlicht

Stefan Viehböck hat das Tool wpscrack zur Demonstration des Angriffs veröffentlicht (Download als ZIP-Archiv, Anforderungen: Python mit dem Cryptography-Toolkit PyCrypto und dem Paketmanipulator Scapy 2.2.0).

Unabhängig von Stefan Viehböck wurde die Schwachstelle bereits vor einiger Zeit von Craig Heffner entdeckt (aber nicht veröffentlicht), der sein eigenes Tool Reaver als Kommandozeilentool veröffentlicht hat (Anforderungen: Linux mit libpcap-Library). Reaver kann die PIN in ca. 4-10 Stunden ermitteln. Außer der Open-Source-Version gab es anfangs auch eine kommerzielle Variante mit zusätzlichen Funktionen, die inzwischen in der Open-Source-Version aufgegangen ist.

Welche Geräte sind betroffen?

Betroffen sind alle Access Points, WLAN-Router und anderen Geräte mit WPS-Registrar-Funktion, die die PIN-Methode einsetzen und dabei eine vorgegebene PIN verwenden. Da die PIN-Methode obligatorisch ist, wenn das Gerät von der WiFi Alliance zertifiziert werden soll, sind die meisten zertifizierten Geräte betroffen. Oder, wie es ein Mitarbeiter des Router-Herstellers Buffalo gegenüber der taz formuliert hat:

"Generell ist es so, dass dieser Standard eine Schwäche hat. Aber wenn man als Hersteller kompatibel sein will, dann muss man diese Schwächen in Kauf nehmen"

Dan Kaminsky hat bei einem Test in Berlin festgestellt, dass ein großer Teil der geschützten Access Points sehr wahrscheinlich über die WPS-Schwachstelle angreifbar ist.

Ob Ihr Gerät theoretisch betroffen ist, können Sie z.B. an einer auf dem Gerät angebrachten PIN erkennen. Wo eine PIN drauf steht, ist i.A. auch die PIN-Methode drin (sonst wäre die PIN ja nicht nötig). Ob WPS per default ein- oder ausgeschaltet ist, verrät Ihnen dann (hoffentlich) das Handbuch.

Ob Angriffe wirklich möglich sind, lässt sich nur durch einen Test mit einem der Tools prüfen, sofern nicht schon jemand anders Testergebnisse für genau dieses Gerät (d.h. auch mit identischer Hard- und Firmwareversion) veröffentlich hat.

Übersicht betroffener Geräte

Laut Stefan Viehböcks Paper sind folgende Geräte betroffen:

  • D-Link DIR-655
  • Netgear WGR614v10
  • TP-Link TL-WR1043ND

Beim Linksys WRT320 konnte zwar nicht die WPS-PIN ermittelt, aber ein DoS ausgelöst werden.

Das US-CERT hat die Vulnerability Note VU#723755 zur Schwachstelle veröffentlicht, die einige Hersteller sowie den Status ihrer Geräte aufführt. Diese Liste ist aber zumindest zur Zeit noch sehr beschränkt, z.B. AVM ist dort bisher nicht enthalten.

Moritz Jaeger (@jagermo) hat auf Google Docs eine Tabelle zum Sammeln der Ergebnisse von wpscrack und Reaver veröffentlicht, die aber erst langsam zu wachsen beginnt. Neue Ergebnisse können über ein Formular gemeldet werden. Dieser Umweg war nach einigem Vandalismus an der zuerst von jedem beschreibbaren Tabelle nötig geworden.

Falls Ihr Gerät auf einer dieser Listen auftaucht, vergleichen Sie auf jeden Fall Hardware- und Firmware-Version, vor allem, wenn es als "nicht betroffen" gilt. Es ist durchaus möglich, dass manche Baureihen oder Firmwareversionen betroffen sind, während andere die Schwachstelle nicht enthalten.

Welche Geräte sind nicht betroffen?

Nicht betroffen sind Geräte, die ausschließlich die "Push Button Configuration" einsetzen. Dafür besteht bei denen formal die Gefahr, dass sich während der 2 Minuten, in denen sich Geräte nach dem Druck auf den WPS-Knopf mit den WLAN verbinden können, bösartige Geräte ins WLAN einschleichen. Aber wie gross ist die Wahrscheinlichkeit dafür, dass in genau diesem Zeitfenster von nur 2 Minuten ein Angriff stattfindet? Wie oft fügen Sie denn Geräte über WPS zu Ihrem WLAN hinzu? Genau dann müsste der Angriff stattfinden, und das ist doch wohl sehr unwahrscheinlich.

Falls Ihnen die Gefahr trotzdem zu hoch erscheint, können Sie zu einem Gerät mit weiterreichenden Schutzmaßnahmen greifen. So hat AVM erklärt, dass die WPS-Funktion der FRITZ!Box sicher ist: WPS wird über die "Push Button Configuration" aktiviert, danach kann sich ein neues Gerät innerhalb von 2 Minuten mit dem WLAN verbinden. Nach Ablauf der 2 Minuten wird die WPS-Funktion deaktiviert. Soweit ist es in der WPS-Spezifikation auch vorgesehen. AVM geht aber noch weiter: Die Funktion wird auch deaktiviert, nachdem sich ein Gerät erfolgreich mit dem WLAN verbunden hat. Versuchen mehrere Geräte gleichzeitig, eine WPS-Verbindung aufzubauen, wird WPS sofort deaktiviert.

Als Advocatus Diaboli könnte man jetzt sagen "Wenn der Angreifer es schafft, sich mit dem WLAN zu verbinden, bevor der Benutzer sein Gerät hinzufügt, ist WPS bereits wieder deaktiviert und der doppelte Verbindungsversuch wird gar nicht erkannt" - aber die Wahrscheinlichkeit dafür dürfte irgendwo zwischen "Nullkommanichts" und "nicht messbar" liegen.

Gegenmaßnahmen

Da sich die Schwachstelle in der Erweiterung WPS befindet, reicht es aus, diese Funktion abzuschalten. Sofern das möglich ist: Bei einigen Access Points und WLAN Routern scheint es diese Möglichkeit nicht zu geben.

Lässt sich WPS nicht ausschalten, haben Sie ein Problem: Jeder, der Lust dazu hat, kann sich innerhalb einiger Stunden Zugriff zu Ihrem WLAN verschaffen. Im Grunde haben Sie dann nur die Möglichkeit, einen anderen Access Point oder WLAN-Router anzuschaffen, der die Schwachstelle nicht aufweist oder der das Abschalten von WPS erlaubt. Sie können natürlich auch das Risiko eingehen und auf die Veröffentlichung eines Firmware-Updates zur Korrektur der Schwachstelle warten, aber ob es das jemals geben wird, steht i.A. in den Sternen.

Fazit

Die Schwachstelle befindet sich "nur" in WPS, erlaubt aber indirekt das Ermitteln des WPA/WPA2-Schlüssels. In sofern gibt es eine gute und eine schlechte Nachricht: WPA/WPA2 ist nicht gebrochen - aber wenn sich WPS mit PIN-Abfrage nicht abschalten lässt, kann sich ein Angreifer den nötigen WPA/WPA2-Schlüssel einfach darüber holen.

Diese Schwachstelle ist also in der Tat sehr gefährlich, hebelt sie doch eine eigentlich als sicher bekannte Schutzmaßnahme aus.

Carsten Eilers


Übersicht über alle Artikel zum Thema

WEP, WPA, WPA2 - WLAN-Schutz, aber richtig!
"Hole196" - Eine neue Schwachstelle in WPA2
DNS-Rebinding - Ein altbekannter Angriff kompromittiert Router
Von außen durch den Client in den Router
Ciscos "WPA Migration Mode" öffnet den Weg ins WLAN
NAT-Pinning, Angriffe auf Cisco-WLANs und ein Tool
Angriffe auf den WLAN-Client
BEAST - Ein neuer Angriff auf SSL und TLS 1.0
Konfigurationsänderungen am Router per UPnP - aus dem Internet
WLAN-Sicherheit - Stand der Dinge
WPS-Schwachstelle gefährdet WLANs

Trackbacks

Dipl.-Inform. Carsten Eilers am : Jede Menge Neues zu Routern - und nichts Erfreuliches

Vorschau anzeigen
Heute beginnt die CeBIT, trotzdem gibt es natürlich einen "Standpunkt". Diesmal zu allerlei Neuigkeiten zu Routern. Leider ist nichts davon besonders erfreulich. Hunderttausende Router gekapert Team Cymru hat einen Bericht (PDF) &uum

Dipl.-Inform. Carsten Eilers am : Mal wieder nichts Gutes zu Routern...

Vorschau anzeigen
Es gibt mal wieder einige Neuigkeiten zu Routern, und wie üblich keine guten. Ein DoS-Botnet, aufgebaut aus Routern Ein DoS-Botnet namens Lizard Stresser war für die DoS-Angriffe auf die Spiele-Netzwerke von Sony und Microsoft z

Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 15 - Angriffe aufs WLAN, Teil 2

Vorschau anzeigen
Der Angriff auf ein WLAN erfolgt wie bereits aufgeführt in 4 Schritten: Aufspüren eines WLAN (Access Points) Aufzeichnen des Netzwerkverkehrs Ermitteln des Schlüssels Eindringen in das Netzwerk