KRACK-Angriff: WPA2 nicht mehr sicher?

17. Oktober 2017

Das Bundesamt für Sicherheit in der Informationstechnik rät zur Vorsicht: es heißt, dass "alle derzeit aktiven WLAN-fähigen Endgeräte in unterschiedlichen Ausprägungen" betroffen sind, nachzulesen in einer Pressemitteilung des BSI vom 16.10.2017. Hintergrundinformationen hierzu gibt es auch bei heise.de. Bemerkenswert ist, dass sowohl die Personal- als auch die Enterprise-Variante von WPA2 anfällig für die geschilderten Angriffe sind. Gespannt dürften alle auf die Patches der Netzwerkausrüster sein, denn, das ist die positive Nachricht, die Schwachstelle lässt sich beseitigen.

17. Oktober 2017 [Update]

Es gibt eine Stellungnahme von AVM - unter dem Titel WPA2-Lücke - FRITZ!Box am Breitbandanschluss ist sicher gibt es Informationen für Besitzer der weit verbreiteten Fritz!Box-Modelle:

"Um die WLAN-Kommunikation zwischen einem unsicheren Klienten (Laptop, Smartphone, TV mit WLAN) und einem Access Point anzugreifen sind umfangreiche Voraussetzungen notwendig. Ein Angreifer muss dazu in unmittelbarer physischer Nähe des Klienten sein. Und er muss sich in Form einer Man-in-the-Middle-Attacke zwischen Klient und Access Point setzen. Eine Voraussetzung für diesen schwer auszuführenden Angriff ist, dass der Klient sich freiwillig ummeldet. Dazu müsste der Angreifer näher am Klienten sein als der Access Point. Je nach Ausführung des Klienten können nach aktueller Einschätzung nur die Sendedaten des Klienten mitgelesen werden."

Das klingt zwar gut aus der Sicht des Herstellers der Fritz!Box-Modelle, aber WLAN-Nutzer sollten die Schwachstelle weiterhin beachten.

Weitere Links zum Thema:

CVE-2017-13080 Detail

Which Windows operating system am I running?

CVE-2017-13080 | Windows Wireless WPA Group Key Reinstallation Vulnerability (Microsoft)

Microsoft Update Katalog: KB4041676

Kritische Sicherheitslücke in glibc: CVE-2015-7547

17. Februar 2016

Auf eine kritische Sicherheitslücke haben Sicherheitsexperten hingewiesen. Unter der Bezeichnung CVE-2015-7547 wurde bekannt, dass es möglich werden kann, dass Angreifer durch manipulierte DNS-Pakete Systemabstürze oder Pufferüberläufe provozieren können. Betroffen sind fast alle Linux-Varianten. Administratoren sind aufgefordert, möglichst schnell die erforderlichen Updates einzuspielen. Android und Unix-Systeme verschieden von Linux sollen nicht betroffen sein. Näheres z.B. bei Heise oder im Google-Blog.

Nachwuchsförderung

5. Februar 2016

Henrik Bachmann - IT-Consulting & Services unterstützt den Nachwuchsförderclub des 1. FC Magdeburg. Das Nachwuchsförderkonzept des 1. FCM ist ein wichtiger Bestandteil im sportlichen Gesamtkonzept des Klubs. Viele Unternehmen der Region unterstützen hier gern - wir sind dabei.

Microsoft Surface Book

16. Februar 2016

"Ein wertiges Gehäuse, ein brillanter Bildschirm ..., aber ärgerliche, unverständliche Kinderkrankheiten ... ein richtig nerviges Standby-Problem ...". Dies ist dann wohl also noch keine Kaufempfehlung?! Zudem ist unklar, wann mit einem stabilen System zu rechnen ist: "Einen Fahrplan, welche großen und kleinen Bugs als solche erkannt wurden oder wann man mit einen Update für das richtig nervige Standby-Problem rechnen kann, hat Microsoft bislang weder in den hauseigenen Support-Foren veröffentlicht, noch auf Nachfrage bereitstellen können." Wer mehr erfahren möchte, der sollte hier nachlesen - auf heise.de im c't-Artikel "Microsoft Surface Book: Edel-Laptop und Windows-Tablet in einem" von Florian Müssig. Der Verkaufsstart der neuen Modelle liegt nah, ab 18. Februar 2016 gibt es das Surface Book im Microsoft Store.

18. Februar 2016 [Update]

Offenbar wurde am Problem gearbeitet - so gab es wohl ein umfangreiches Update-Paket. Nachzulesen ebenfalls im heise-Ticker als Ergänzung zum o.g. Artikel.