WLAN-Router: Gravierende WPS-Schwachstelle entdeckt

WPS bietet drei verschiedene Methoden, mit denen neue Geräte einem WLAN-Netz hinzugefügt werden können. Die betroffene Methode verlangt, dass eine PIN in dem hinzuzufügenden Gerät eingegeben wird. Andere Möglichkeiten sind die Push-Button-Methode und die Methode, im Router eine PIN des einzubindenden Gerätes einzugeben. Beide sind aber nicht von der Schwachstelle betroffen, da sie vom Betreiber des Netzes eine Aktion verlangen.

Das Brute-Force-Vorgehen

Die Lücke basiert auf einer Schwachstelle im Authentifizierungsprozess, den das WPS-Protokoll festlegt. Die PIN besteht aus acht Ziffern. Da die letzte Ziffer nur eine Prüfzahl ist, werden effektiv nur sieben Zahlen verwendet. Router und Gerät tauschen im Verlauf der Anmeldung mehrfach Daten aus. Das Gerät schickt die PIN an den Router. An einer bestimmten Stelle des Anmeldeprozesses gibt der Router zu erkennen, ob die ersten vier Stellen der PIN stimmen oder nicht. Somit ist es unerheblich, ob die restlichen vier Stellen mit der PIN übereinstimmen oder nicht.

Stimmt nach vielen Versuchen der erste Teil der PIN, müssen nur noch die restlichen drei Stellen erraten werden, da die achte und letzte Stelle immer eine Prüfziffer ist.

Rechnerisch reduziert diese Lücke die verschiedenen PIN-Möglichkeiten, die ein Angreifer ausprobieren müsste um ein Vielfaches: Könnte der Angreifer die Antwort des Routers nicht interpretieren, so müsste er 108 verschiedene Kombinationen ausprobieren. Die von Viehböck entdeckte Schwachstelle reduziert die Kombinationsmöglichkeiten auf 104 + 103, also 11 000 verschiedene Kombinationen, die probiert werden müssen.

Lösung: Verzögern oder abschalten

Wer 11 000 Versuche benötigt, um Zugang zum WLAN-Netz zu erlangen und je Versuch 1,3 Sekunden benötigt, wird laut Viehböck innerhalb von maximal vier Stunden den WPS-Prozess erfolgreich durchlaufen haben. Dagegen helfen nur zwei Gegenmassnahmen: Entweder WPS wird ausgeschaltet oder der Router verzögert nach einer gewissen Anzahl an Fehlversuchen weitere WPS-Anfragen. Würde ein Router nach 15 Fehlversuchen WPS für eine Stunde deaktivieren, so müsste ein fremder Angreifer bis zu 31 Tage einplanen, bis er das WPS-Verfahren komplett durchlaufen hat und dann auf das WLAN-Netz zugreifen kann. Da aber Router oft monatelang ununterbrochen laufen, könnte selbst dieser Zeitraum nicht für ausreichend Sicherheit sorgen. Letztlich müsste das gesamte Verfahren verbessert werden. Auch eine deutliche Verzögerung nach einigen erfolglosen Versuchen kann für etwas mehr Sicherheit sorgen.

Leider bieten marktübliche Router keine Verzögerungsmassnahmen. Damit sind betroffene WLAN-Netze binnen vier Stunden 'knackbar'. Vorerst muss jedoch die betroffene WPS-Methode deaktiviert werden. Manche Router erlauben, einzelne Methoden zu aktivieren oder zu deaktivieren. Falls dies nicht geht, sollte das WPS-Verfahren komplett deaktiviert werden.

Die Schwachstelle wurde mittlerweile vom US-CERT als Vulnerability Note VU#723755 anerkannt und veröffentlicht. Wer sich über die genauen Details informieren will, kann ein von Viehböck auf englisch verfasstes Dokument studieren.

Nicht verzögern, sondern schnell handeln!

Da im Internet schon entsprechende Programme kursieren, die diese Schwachstelle ausnutzen, ist Eile geboten, die Konfiguration des heimischen Routers zu prüfen und abzusichern. Wer die betroffene WPS-Methode deaktiviert hat, kann sie dennoch vorübergehend aktivieren, wenn ein Gerät ins heimische WLAN-Netz integriert werden soll. Wichtig ist dann aber, die Methode wieder zu deaktivieren.

(Hans-Georg Kluge/teltarif.ch)