WPA2 is kraakbaar

[ubremoved_2964]

Is dit de correcte update voor windows 7? Ik zie hem installed op 17/10/17, als meest recente in het lijstje:

wifi-ms-kb.png

Hier iemand die nadien problemen met wifi heeft, lijkt meer dan related:

https://answers.microsoft.com/en-us/win ... fe2?auth=1

Zoja, waarom is dit een windows defender update? Wat een rare naam.

[TRiSS]

Hier vind je een overzicht van de KB-nummers:
https://portal.msrc.microsoft.com/en-US ... 2017-13080

Het is langs de ene kant handig dat Microsoft dit al verholpen heeft, maar door het feit dat ze dat "stiekem" gedaan hebben maakt het de zaken niet echt helderder

[Tomby]

Waarom concludeer jij dat dat een fix voor WPA2 zou zijn ?! Je ziet toch aan het lijstje dat dat gewoon de regelmatige signatures update is van Defender ? Heeft niets met WPA2/KRACK te maken.

Hier is het lijstje met de fixes : https://portal.msrc.microsoft.com/en-US ... y-guidance .

EDIT: het is wel vreemd dat die nog niet automatisch gepusht wordt via Windows Update. Heb die net eens getriggered en vind die WPA fix nog niet terug.

[ubremoved_2964]

Dit zit dus al in hun 10 oktober update:
https://portal.msrc.microsoft.com/en-US ... 2017-13080

Ik click dan door op windows 7 64 bit SP1

En die staat er uiteraard nu al op, maar als je de info van die specifieke update opvraagt, staat er niks bij over WiFi ....
https://support.microsoft.com/en-us/hel ... -kb4041681

Als voormalig security specialiast vind ik dat erg hatelijk dat ze niet alle info meegeven die deel zou moeten uitmaken van de changelog.
Ik ben uiteraard linux changelogs gewoon waar alles in staat

Ik kan dus op basis van wat in Control Panel\System and Security\Windows Update\View update history staat, niet zien dat de WiFi issue opgelost is.

Konden ze het nog meer obscuur maken?

ms-obscure-mickeysuck-os.png

[philippe_d]

Als voormalig security specialiast vind ik dat erg hatelijk dat ze niet alle info meegeven die deel zou moeten uitmaken van de changelog.
Ik ben uiteraard linux changelogs gewoon waar alles in staat

Konden ze het nog meer obscuur maken?

Het probleem werd pas aan het grote publiek bekend gegeven op 16 oktober
Voor deze datum werd hierover (waarschijnlijk al een hele tijd) gecommuniceerd binnen een zeer beperkte kring (met de ontdekkers) om iedereen de tijd te geven de nodige patches uit te brengen en te testen.

Onder die omstandigheden is het toch wel begrijpelijk dat hierover niets gepubliceerd werd in de changelog?

Ik vind het juist een goede zaak dat zo'n goede geheimhouding zelfs mogelijk is ...

[Tomby]

Ok tnx. Hier is ie blijkbaar ook al op 11/10 geinstalleerd als deel van een grote W10 patch roll-up.

[CCatalyst]

Ik vind het juist een goede zaak dat zo'n goede geheimhouding zelfs mogelijk is ...

Zijn toch bedenkingen bij. Niemand weet precies hoe groot die "zeer beperkte kring" is en wie daar allemaal bij hoort. De informatie is al bekend sinds 15 juli. Het is dan ook een illusie om te denken dat bv de NSA niet op de hoogte was...

OpenBSD heeft zijn systemen trouwens al op 30 augustus gepatcht (dmv een publiek gepubliceerde patch) omdat ze een maand en een half ruim genoeg vonden en niet het risico wilden nemen om 3 maand lang unpatched te blijven. Iedereen die die patch heeft bekeken wist dus ook al wat er gaande was, en dat kan iedereen zijn want die patch staat gewoon op het net.

Ik ben dus niet zozeer tegen het systeem van responsible disclosure, maar ik vind persoonlijk ook wel dat 3 maanden te lang is.

[MClaeys]

Hier is alles wat niet gepatcht is op het guest netwerk gevlogen. Viel goed mee eigenlijk, enkel mijn Android toestel. Niet dat er echt risico is om het hier te gaan exploiten maar we spelen maar op safe . Ubiquity had al een patch dus aan de netwerk kant zit het ook goed.

Sent from my Lenovo K33a48 using Tapatalk

[heist_175]

Het probleem werd pas aan het grote publiek bekend gegeven op 16 oktober
Voor deze datum werd hierover (waarschijnlijk al een hele tijd) gecommuniceerd binnen een zeer beperkte kring (met de ontdekkers) om iedereen de tijd te geven de nodige patches uit te brengen en te testen.

Onder die omstandigheden is het toch wel begrijpelijk dat hierover niets gepubliceerd werd in de changelog?

Ik vind het juist een goede zaak dat zo'n goede geheimhouding zelfs mogelijk is ...

http://www.standaard.be/cnt/dmf20171016_03136016

Al in de zomer stapte hij met zijn ontdekking naar het Amerikaanse Computer Emergency Response Team (CERT), dat verbonden is aan de Carnegie Mellon University van Pittsburgh. Zij verspreiden info over nieuwe beveiligingsproblemen over de hele wereld. Technologiebedrijven zoals Apple, Cisco en Microsoft, werden ten laatste eind augustus op de hoogte gebracht. Dat liet hen toe een update uit te brengen van de software die op hun apparaten draait, om zo het lek te dichten. De meesten hebben dat gedaan, maar de installatie van zo’n update is in handen van de eigenaars van smartphones, tablets, computers, enzovoort.

enkel mijn Android toestel

Welke Android security versie moet je hebben om "safe" te zijn?

[MClaeys]

Volgens een bericht van The Verge is die er nog niet:

Android 6.0 and above contains a vulnerability that researchers claim “makes it trivial to intercept and manipulate traffic sent by these Linux and Android devices.” 41 percent of Android devices are vulnerable to an “exceptionally devastating” variant of the Wi-Fi attack that involves manipulating traffic. Attackers might be able to inject ransomware or malware into websites thanks to the attack, and Android devices will require security patches to protect against this. Google says the company is “aware of the issue, and we will be patching any affected devices in the coming weeks.”

Tuurlijk is de vraag of dit afhankelijk is van Google of van je fabrikant van je telefoon. In dat laatste geval vrees ik nog veel ongepatchte devices .

Google has said that its own Pixel devices will be the first to get a patch for the attack, and that will come on November 6th. Other manufacturers will likely push Android updates to fix the flaw sometime after Google, but given the number of Android devices still being used that won’t get a security update, old Android devices are likely to be the weakest link.

6 november pas, de traagste van de klas.

[laroyj]

.. bij mijn weten kon je mits speciale software en aparaatjes zoals wifirobin etc al jaren geleden wpa2 kraken...

[BertG3]

Nee, al die tooltjes maakten gebruik van WPS waardoor er constant geprobeerd werd op een juiste code te vinden. Als dit gelukt was kon je inderdaad het wpa2 paswoord zien. Echter was de kans dat dit lukte niet echt zo groot...

[TRiSS]

Update van Datanews:
http://datanews.knack.be/ict/nieuws/bed ... 7448022833

Telenet laat weten dat de residentiële hardware, waaronder alle modems, wifi powerlines en access points niet geïmpacteerd zijn door het WPA2-lek. Klanten hoeven dus niets te ondernemen om hun telenet-hardware veilig te stellen. "De kwetsbaarheid was enkel aanwezig indien ook een bepaalde technische feature aanwezig was. In de enterprise-oplossingen (de hotspots op publieke locaties) is die feature uitgezet waardoor er geen risico meer is," klinkt het bij woordvoerster Isabelle Geeraerts. Wel wijst de operator op het belang dat consumenten ook hun eigen toestellen updaten.

Telenet zei gisteren al tegenover Data News dat het zo snel mogelijk met haar hardwarelevernacier Compal zou overleggen.

Op mijn eigen vraag aan telenet nog geen antwoord gehad.

[ubremoved_539]

Ik begrijp nog steeds niet waarom alle wireless-vendors en bedrijven plots allerlei berichten de wereld insturen over het al of niet beschikbaar hebben van patches ?

Dit is toch een client probleem ?

[CCatalyst]

Access Points kunnen ook client-functionaliteit bevatten he, bv wanneer ze als repeater werken. Ook 802.11r (fast roaming) is kwetsbaar, zij het via een andere en meer complexe methode dan via de vulnerability in de 4-way handshake die de hoofdmoot van de publicatie uitmaakt.

Maar een AP die deze functionaliteiten niet bevat is in principe ok. 802.11r is eerder zeldzaam in het gamma van consumentenrouters en repeater mode is sowieso al een afrader omwille van andere redenen.

[ubremoved_539]

Access Points kunnen ook client-functionaliteit bevatten he, bv wanneer ze als repeater werken.

Volgens mij is dat nooit het geval bij TN/Proximus... al zou het verhaal van fast roaming wel kunnen bestaan (maar staat het dus uit bij TN).

[ITnetadmin]

Weet er iemand wat de exacte KB is voor de MS patch?
Dus niet de rollup of andere cumulative update, maar de exacte patch?
Dan kan ik die fast-tracken en snel-snel laten installeren.

[Splitter]

Ik begrijp nog steeds niet waarom alle wireless-vendors en bedrijven plots allerlei berichten de wereld insturen over het al of niet beschikbaar hebben van patches ?

Dit is toch een client probleem ?

van wat ik eruit opmaak, moeten ZOWEL de AP als de clients een patch hebben om veilig te zijn.
dus: AP + ongepatchte client = onveilig
ongepatchte AP + client = onveilig
AP + client beide gepatcht = veilig

[ITnetadmin]

De hack zit hem in de re-request van stap 3 van de handshake.
Aangezien die handshake TCP based is, is het zeker niet abnormaal (zelfs ingebouwd in het protocol) om een packet opnieuw op te vragen.
De beveiliging daarrond kan wss aan twee zijden hulp gebruiken.
De client moet uiteraard opletten dat hij een resend aanvroeg alvorens eentje te accepteren, en de AP kan mogelijk wat extra beveiliging gebruiken om niet zomaar die derde stap opnieuw uit te zenden.
De WPA2 standaard zal wss ook wel aangepast worden (als dat nog niet gebeurd is), en dan zullen de APs die nieuwe versie ook gaan moeten respecteren (dus: updates).

[laroyj]

ik geloof dat je destijds met die wifirobin binnen de 24 of 48h het wpa2 paswoord had, wep binnen enkele minuten....maar heb het toestel zeker al 2 jaar niet meer, maar destijds zelf wel getest.. natuurlijk, had je een paswoord van bvb 256 karakters ipv 10, dan kon het wel enkele weken duren...

[Fatsie]

Maar dat is dus een brute-force aanval op het wachtwoord (of waarschijnlijker: de WPS implementatie), hier gaat het om een probleem in het onderliggende protocol. Het maakt dus niet uit hoe lang of complex het wachtwoord is.

[ubremoved_539]

ongepatchte AP + client = onveilig

Volgens mij is het patchen van het AP enkel en alléén noodzakelijk indien het client functionaliteit heeft (wireless uplink, mesh, repeater, ... functies), ofwel ondersteuning voor Fast Romaing 802.11r

[Splitter]

je hebt gelijk, lijkt idd dat het enkel is indien fast roaming of client functionaliteit op het AP aanwezig is.
was in eerste instantie niet helemaal duidelijk.

op krackattack.com:

However, the security updates will assure a key is only installed once, preventing our attack.

dus dan zou je KUNNEN denken: het AP updaten, dat zou zo'n key al moeten voorkomen?

Finally, although an unpatched client can still connect to a patched AP, and vice versa, both the client and AP must be patched to defend against all attacks!

dan ga je denken: ok, beide moeten geupdate worden of het heeft geen zin

In general though, you can try to mitigate attacks against routers and access points by disabling client functionality

ok, het AP updaten heeft dus (meestal) weinig zin...


nu ben ik eigenlijk het meest benieuwd naar welke vendors het snelst gaan zijn voor hun android te updaten.
ik vermoed dat ze in eerste instantie al op google moeten wachten, en die gaan pas in november een patch uitbrengen... (zwaar steekje laten vallen imho).

[ubremoved_539]

was in eerste instantie niet helemaal duidelijk.

En het is het nog steeds niet helemaal... spijtig dat men hier niet wat concreter over is.

nu ben ik eigenlijk het meest benieuwd naar welke vendors het snelst gaan zijn voor hun android te updaten.
ik vermoed dat ze in eerste instantie al op google moeten wachten, en die gaan pas in november een patch uitbrengen... (zwaar steekje laten vallen imho).

https://tweakers.net/nieuws/130897/cust ... anval.html

[fredo66]

Je leest veel over de windows patch en de nog niet bestaande androidpatches maar niets over Mac. Ik neem aan dat die toch ook een patch nodig hebben ? Is die er al ?

Voor wat fritzboxen betreft, er staat een verklaring online. Daarin staat ondermeer dat de aanvaller dichter bij het accespoint zou moeten zitten dan de client ... Als dat waar is zal in mijn woning er niet veel gevaar zijn, mijn wifi geraakt nog niet op bovenverdieping
https://en.avm.de/news/short-notes/2017 ... re-secure/

[Fatsie]

Volgens mij is het patchen van het AP enkel en alléén noodzakelijk indien het client functionaliteit heeft (wireless uplink, mesh, repeater, ... functies), ofwel ondersteuning voor Fast Romaing 802.11r

Dat is inderdaad ook wat ik van een vendor te horen krijg;
Cisco: Among these ten vulnerabilities, only one (CVE-2017-13082) may affect components of the wireless infrastructure (for example, Access Points), the other nine vulnerabilities affect only client devices.

Maar er lijkt toch niet echt consensus over te zijn binnen de industrie;
AeroHive: The set of CVE numbers (CVE-2017-13077 thru CVE-2017-2017-13088) are broadly applicable to all vendors of wifi products, including Aerohive. Out of these CVEs, 9 are directly related to clients but can be mitigated with AP software updates. The one CVE related to AP or Infrastructure equipment is regarding 802.11r Fast Roaming, which can be addressed by temporarily disabling it in customer networks who are unable to promptly update their access points.

[Splitter]

*sigh* en zo zijn we dus nog steeds niet verder...
ik hoop iig dat het inderdaad te vermijden valt met een geupdate AP (bv doordat het geen 0-key meer zou aanvaarden of retransmissie niet zou aanvaarden of ...)
heb ergens in de vlugte gelezen gehad dat het kwam omdat er een resp gezonden werd ipv req of omgekeerd, en dat omgekeerd had moeten zijn.
in dat geval lijkt het me wel mogelijk dat het AP updaten genoeg kan zijn voor het gros van de problemen te voorkomen.

heb hier anders nog wel toestellen die buiten de boot gaan vallen denk ik (paar chinese smartphones, oudere ipad, ...)
en mag ook niet vergeten mijn Rpi te updaten

[johan.devos]

Op BleepingComputer staat een mooi overzicht met reacties van verschillende bedrijven en beschikbare patches

https://www.bleepingcomputer.com/news/s ... erability/

[DidierS]

Fing heeft ook net een aankondiging gedaan van een software-update van hun fingbox om je netwerk te beschermen tegen deze vorm van aanvallen:
https://www.fing.io/krack-attack-detection-fingbox/