FragAttack – Hva er det og hvordan kan man best beskytte seg?
En samling med sårbarheter i 802.11 protokollen for Wi-Fi-utstyr har i den senere tid fått mye fokus, og er blitt kjent under navnet FragAttack. Sårbarhetene handler enkelt forklart om at en angriper som er innenfor rekkevidden til et Wi-Fi-nett, kan misbruke disse sikkerhetshullene til å stjele brukerinformasjon eller angripe enheter som bruker det samme Wi-Fi-nettet.
FragAttack består av 12 ulike sårbarheter
Det var sikkerhetsforskere som nylig identifiserte sårbarheter i 802.11 standarden. Samt hvordan denne standarden har blitt implementert. De fant sikkerhetshullene i «frame aggregation» og «frame fragmentation» funksjonaliteten i standarden, herav navnet FragAttack. Feilene gjør det mulig for en angriper å forfalske krypterte frames. Disse kan så benyttes for å hente ut sensitive data fra en angrepet enhet. FragAttack består av 12 ulike sårbarheter (CVE-er) som inkluderer flere angrepsmetoder. Hvorav noen utnytter identifiserte designfeil i selve 802.11 protokollen mens andre utnytter hvordan protokollen er blitt implementert.
Lengre ned i bloggen finner du 10 tips fra Telenor og Cisco for å gjøre det vanskeligere for angriperne.
Hvilken type Wi-Fi-enheter er påvirket av FragAttack?
Tre av de oppdagede sårbarhetene er designfeil i Wi-Fi-standarden og påvirker derfor de fleste Wi-Fi-enheter. Den gode nyheten er at det ikke er rett frem å utnytte disse protokolldesignfeilene på en enkel måte, og det er ikke kjent at disse feilene har blitt utnyttet til å utføre angrep.
Ulike tester indikerer at hver Wi-Fi enhet påvirkes av minst én sårbarhet, men de fleste er berørt av flere. De nå kjente sikkerhetshullene påvirker alle moderne sikkerhetsprotokoller for Wi-Fi. Det vil si at alle enheter som benytter seg av Wi-Fi-protokollen (802.11) er utsatt for FragAttack sårbarhetene. Med andre ord så gjelder det alle Wi-Fi-aksesspunkter og Wi-Fi-klienter utsatt for de nevnte sårbarhetene. Den nyeste WPA2/WPA3-spesifikasjonen skal ikke ha blitt kompromittert av FragAttack sårbarheten.
Trolig har de nylig oppdagede designfeilene vært en del av Wi-Fi standarden helt siden lanseringen i 1997. Heldigvis er bristene vanskelige for datakriminelle å misbruke fordi det krever brukerinteraksjon, eller er kun mulig når visse uvanlige nettverksinnstillinger er valgt. I dag er det vanlig å beskytte Wi-Fi-trafikken på andre måter (TLS er ofte brukt), så trusselen med denne sårbarheten er minimert.
Slik kan feilene utnyttes i et FragAttack
En potensiell måte å utnytte sårbarhetene på er å klone det trådløse Wi-Fi-nettverket (man- in-the-middle angrep) ved å lokke enheter til å koble seg til angriperens aksesspunkt/nettverk, i stedet for brukerens/virksomhetens eget. Angriperen har da full kontroll på det klonede nettverket og kan lede trafikken herifra til falske nettsider ved å bruke endret DNS-informasjon. Dette kan man gjøre ved å sende brukeren en e-post som laster en «bildefil» som er helt spesielt utformet for dette formålet.
Dersom trafikken kan nedgraderes fra HTTPS til HTTP, noe som vil si ukryptert trafikk, vil det være mulig å stjele sensitiv informasjon. I dag er det dog flere nyere nettlesere som ikke godtar dette uten videre, men brukere bør uansett være oppmerksom på at sensitiv informasjon aldri bør oppgis på nettsider som ikke er kryptert med HTTPS. Dette kan du se som en hengelås i adressefeltet i din nettleser.
Det vil også være mulig å få full tilgang til en Windows-maskin bak en brannmur. Men her er det riktignok utdaterte maskiner med Windows 7 som vil kunne være et mål for sofistikerte angrep ved å bruke ondsinnet DNS kilde, pakkeinjeksjoner og forsere brannmurer.
For at en datakriminell skal ta i bruk FragAttack sårbarhetene i et angrep krever dette altså at angriperen er innenfor rekkevidde av den trådløse infrastrukturen/klienten de skal angripe. Det er først da de kan innta en Man-in-the-Middle posisjon før de kan manipulere og injisere frames. Noen av sårbarhetene krever også at Sosial manipulasjon tas i bruk.
De fleste av angrepene knyttet til FragAttack involverer flere steg:
- En angriper forsøker å injisere manipulerte 802.11 frames adressert til målet for angrepet, dvs. enten et trådløst aksesspunkt eller en trådløs klient.
- Et Man-in-the-Middle angrep kan benyttes hvis den trådløse infrastrukturen ikke benytter seg av sikkerhetsmekanismer som blokkerer eller alarmerer for denne type angrep. Angriperen kan så injisere data i frame fragmenter som så kan gi tilgang til å hente ut data fra nettverket eller få enheten til å benytte en falsk DNS-server for ytterligere utnyttelse.
- Noen av sårbarhetene knyttet til FragAttack krever et visst sosial manipulasjons aspekt, for eksempel for å få en bruker til å klikke på en web-link eller navigere brukeren til en URL kontrollert av angriperen.
Så som man forstår er angrepsformen innviklet og du skal virkelig vite hva du gjør for å gjennomføre et FragAttack. Uansett er det en del sikkerhetstiltak man kan sørge for å ha på plass for å forbedre den generelle nettverkssikkerheten. Det er definitivt mange andre angrepsvektorer en angriper vil benytte i stedet, og derfor vil det være et «must» å ha på plass gode nettverks- og sikkerhetsrutiner.
Så langt Telenor og Cisco kjenner til, så er det per nå ingen tilfeller av vellykkede angrep hvor noen faktisk har utnyttet FragAttack. Heller ikke i følge Wi-Fi Alliance finnes det per i dag bevis på at nevnte sårbarheter har blitt utnyttet på en ondsinnet måte mot Wi-Fi klienter/brukere.
Telenor og Cisco gir deg 10 tips for å gjøre det vanskeligere for angriperne
Her finner du råd både for trådløs nettverksinfrastruktur og klienter.
1 – Aktiver Wireless Intrusion Prevention Systems (WIPS) og Wireless Intrusion Detection Systems (WIDS)
WIPS/WIDS er designet for å detektere og forhindre visse Man-in-the-Middle angrep ved å skanne Wi-Fi-kanalene og identifisere uautoriserte/ukjente aksesspunkter som utgir seg for å være lovlige/godkjente aksesspunkter.
2 - Bruk EAP-TLS i alle tilfeller hvor det er mulig
EAP-TLS sikrer at klientene autentiserer nettverket før tilkobling, noe som øker vanskelighetsgraden for en angriper å lure klientene ved å koble seg til et ukjent trådløst nettverk
3 - Bruk WPA3-Enterprise
Ved å benytte seg av WPA3-Enterprise så tar man samtidig i bruk 802.11w (Protected Management Frames) som forhindrer uautoriserte de-autentisering/de-assosiering frames fra å påvirke tilkoblingen mellom klient og aksesspunkt. Dette bidrar til å minske sannsynligheten for å bli utsatt for et vellykket Man-in-the-Middle angrep.
4 – Oppgrader eldre Wi-Fi-enheter
Har du en eldre ruter som du ikke lenger får regelmessig firmwareoppdateringer på, da bør ruteren byttes.
5 – Installer alltid sikkerhetsoppdateringer
Forsikre deg alltid om at du har installert siste sikkerhetsoppdatering på enheten din. Disse oppdateringene hjelper deg med å beskytte enhetene dine mot nye sårbarheter og sikkerhetsangrep. Så fortsett å se etter sikkerhetsoppdateringer og sørg for å installere dem så fort de er tilgjengelige. Selv om smarttelefoner og andre moderne enheter oppdateres automatisk er det viktig at du også sjekker manuelt at siste sikkerhetsoppdatering er blitt installert.
6 – Bruk kryptering
Pass på at du er på et sikkert nettsted når du surfer på nettet og at det har HTTPS (Hypertext Transfer Protocol Secure) sertifikat. Det vil si at du ser en liten hengelås foran lenken, og at det står https:// og ikke bare http://. Og ikke bare det, bruk kryptering overalt og hele tiden. Bruk for eksempel et sikkerhetsprogram som tilbyr ende-til-ende-kryptering for å overføre data mellom enheter. Husk at FragAttacks oppstår når ukryptert data sendes over et sikkert nettverk. Så, kryptering er et must!
7 – Bruk VPN
Ved å bruke en VPN-tjeneste kan det bidra til å gi deg beskyttelse mot FragAttack, dette ved å dirigere trafikken din gjennom en kryptert forbindelse.
8 – Sett opp en egendefinert DNS
For å hindre angrep kan du også konfigurere en egendefinert DNS manuelt i ruteren og eventuelt andre enheter.
9 – Vær oppmerksom på sosial manipulasjonsmetoder
Hvor en bruker blir bedt om å klikke på linker eller navigere til ukjente websider.
10 - Gode nettverks- og sikkerhetsrutiner
Sørg for å ha på plass gode nettverks- og sikkerhetsrutiner som bidrar til å beskytte virksomheten.
Les mer om anbefalingene til en av våre fremste sikkerhetseksperter, Jan Petter Torgersrud nå
Vi ønsker å gjøre det enklere for deg å sikre deg mot cyberkriminalitet
Brukere kobler seg til tjenester fra forskjellige enheter, når som helst og fra hvor som helst. Stadig flere forretningskritiske tjenester integreres i nettverket, og kravene til tilgjengelighet på tjenestene øker. Samtidig øker både forekomsten og kompleksiteten til skadevare og datainnbrudd. Presset fra cyberkriminelle bidrar til at vi må tenke nytt om hvordan vi sikrer våre digitale verdier, og IT-sikkerhet må få større fokus. Vi ruster deg for en stadig mer kompleks IT-infrastruktur i et trusselbilde som er i konstant endring.
Telenor Integrator Services
Leverer virksomhets- og samfunnskritiske tjenester innen nettverk og sikkerhet – og løsninger som legger til rette for og skaper samhandling i moderne virksomheter.
En strategisk partner og rådgiver som forstår din bransje, dine utfordringer og dine muligheter. Erfarne, kunnskapsrike og i forkant. Gjennom smart bruk av ny teknologi og innsikt i kundenes innovasjonspotensial, bidrar til vi verdiskapning og vekst.
WiFi-sikkerhet og FragAttack
Ønsker du å ta en prat med oss om hvordan du kan bedre din virksomhets nettverks- og sikkerhetsrutiner?
