WPA2 is kraakbaar

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Is dit de correcte update voor windows 7? Ik zie hem installed op 17/10/17, als meest recente in het lijstje:
wifi-ms-kb.png
Hier iemand die nadien problemen met wifi heeft, lijkt meer dan related:

https://answers.microsoft.com/en-us/win ... fe2?auth=1

Zoja, waarom is dit een windows defender update? Wat een rare naam.
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
TRiSS
Plus Member
Plus Member
Berichten: 112
Lid geworden op: 30 jan 2005, 14:59
Uitgedeelde bedankjes: 8 keer
Bedankt: 4 keer

Hier vind je een overzicht van de KB-nummers:
https://portal.msrc.microsoft.com/en-US ... 2017-13080

Het is langs de ene kant handig dat Microsoft dit al verholpen heeft, maar door het feit dat ze dat "stiekem" gedaan hebben maakt het de zaken niet echt helderder :-)
i will live forever.... or die trying!
Tomby
Elite Poster
Elite Poster
Berichten: 6348
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1285 keer
Bedankt: 485 keer
Recent bedankt: 2 keer

Waarom concludeer jij dat dat een fix voor WPA2 zou zijn ?! Je ziet toch aan het lijstje dat dat gewoon de regelmatige signatures update is van Defender ? Heeft niets met WPA2/KRACK te maken.

Hier is het lijstje met de fixes : https://portal.msrc.microsoft.com/en-US ... y-guidance .

EDIT: het is wel vreemd dat die nog niet automatisch gepusht wordt via Windows Update. Heb die net eens getriggered en vind die WPA fix nog niet terug.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Dit zit dus al in hun 10 oktober update:
https://portal.msrc.microsoft.com/en-US ... 2017-13080

Ik click dan door op windows 7 64 bit SP1

En die staat er uiteraard nu al op, maar als je de info van die specifieke update opvraagt, staat er niks bij over WiFi ....
https://support.microsoft.com/en-us/hel ... -kb4041681

Als voormalig security specialiast vind ik dat erg hatelijk dat ze niet alle info meegeven die deel zou moeten uitmaken van de changelog.
Ik ben uiteraard linux changelogs gewoon waar alles in staat ;)

Ik kan dus op basis van wat in Control Panel\System and Security\Windows Update\View update history staat, niet zien dat de WiFi issue opgelost is.

Konden ze het nog meer obscuur maken?
ms-obscure-mickeysuck-os.png
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
philippe_d
Moderator
Moderator
Berichten: 17488
Lid geworden op: 28 apr 2008, 11:22
Locatie: Waregem
Uitgedeelde bedankjes: 921 keer
Bedankt: 3348 keer
Recent bedankt: 5 keer

ub4b schreef: Als voormalig security specialiast vind ik dat erg hatelijk dat ze niet alle info meegeven die deel zou moeten uitmaken van de changelog.
Ik ben uiteraard linux changelogs gewoon waar alles in staat ;)

Konden ze het nog meer obscuur maken?
Het probleem werd pas aan het grote publiek bekend gegeven op 16 oktober
Voor deze datum werd hierover (waarschijnlijk al een hele tijd) gecommuniceerd binnen een zeer beperkte kring (met de ontdekkers) om iedereen de tijd te geven de nodige patches uit te brengen en te testen.

Onder die omstandigheden is het toch wel begrijpelijk dat hierover niets gepubliceerd werd in de changelog?

Ik vind het juist een goede zaak dat zo'n goede geheimhouding zelfs mogelijk is ...
VoIP: WeePee (vaste nummers geporteerd), Sipgate.de, Sipgate.co.uk, MegaVoip (uitgaand België).
Provider: Proximus Fiber Essential (50/8 mbps down/up).
Modem/Router: Fritz!Box 7590 int, OS 07.50, aangesloten op Proximus ONT (VLAN20).
Telefoon centrale: Euracom 181 achter FritzBox So.
TV: Telenet CI+, Fritz!DVB-C.
Tomby
Elite Poster
Elite Poster
Berichten: 6348
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1285 keer
Bedankt: 485 keer
Recent bedankt: 2 keer

Ok tnx. Hier is ie blijkbaar ook al op 11/10 geinstalleerd als deel van een grote W10 patch roll-up.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

philippe_d schreef: Ik vind het juist een goede zaak dat zo'n goede geheimhouding zelfs mogelijk is ...
Zijn toch bedenkingen bij. Niemand weet precies hoe groot die "zeer beperkte kring" is en wie daar allemaal bij hoort. De informatie is al bekend sinds 15 juli. Het is dan ook een illusie om te denken dat bv de NSA niet op de hoogte was...

OpenBSD heeft zijn systemen trouwens al op 30 augustus gepatcht (dmv een publiek gepubliceerde patch) omdat ze een maand en een half ruim genoeg vonden en niet het risico wilden nemen om 3 maand lang unpatched te blijven. Iedereen die die patch heeft bekeken wist dus ook al wat er gaande was, en dat kan iedereen zijn want die patch staat gewoon op het net.

Ik ben dus niet zozeer tegen het systeem van responsible disclosure, maar ik vind persoonlijk ook wel dat 3 maanden te lang is.
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

Hier is alles wat niet gepatcht is op het guest netwerk gevlogen. Viel goed mee eigenlijk, enkel mijn Android toestel. Niet dat er echt risico is om het hier te gaan exploiten maar we spelen maar op safe :). Ubiquity had al een patch dus aan de netwerk kant zit het ook goed.

Sent from my Lenovo K33a48 using Tapatalk
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14848
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1043 keer
Recent bedankt: 7 keer

philippe_d schreef:Het probleem werd pas aan het grote publiek bekend gegeven op 16 oktober
Voor deze datum werd hierover (waarschijnlijk al een hele tijd) gecommuniceerd binnen een zeer beperkte kring (met de ontdekkers) om iedereen de tijd te geven de nodige patches uit te brengen en te testen.

Onder die omstandigheden is het toch wel begrijpelijk dat hierover niets gepubliceerd werd in de changelog?

Ik vind het juist een goede zaak dat zo'n goede geheimhouding zelfs mogelijk is ...
http://www.standaard.be/cnt/dmf20171016_03136016
Al in de zomer stapte hij met zijn ontdekking naar het Amerikaanse Computer Emergency Response Team (CERT), dat verbonden is aan de Carnegie Mellon University van Pittsburgh. Zij verspreiden info over nieuwe beveiligingsproblemen over de hele wereld. Technologiebedrijven zoals Apple, Cisco en Microsoft, werden ten laatste eind augustus op de hoogte gebracht. Dat liet hen toe een update uit te brengen van de software die op hun apparaten draait, om zo het lek te dichten. De meesten hebben dat gedaan, maar de installatie van zo’n update is in handen van de eigenaars van smartphones, tablets, computers, enzovoort.
enkel mijn Android toestel
Welke Android security versie moet je hebben om "safe" te zijn?
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

Volgens een bericht van The Verge is die er nog niet:
Android 6.0 and above contains a vulnerability that researchers claim “makes it trivial to intercept and manipulate traffic sent by these Linux and Android devices.” 41 percent of Android devices are vulnerable to an “exceptionally devastating” variant of the Wi-Fi attack that involves manipulating traffic. Attackers might be able to inject ransomware or malware into websites thanks to the attack, and Android devices will require security patches to protect against this. Google says the company is “aware of the issue, and we will be patching any affected devices in the coming weeks.”
Tuurlijk is de vraag of dit afhankelijk is van Google of van je fabrikant van je telefoon. In dat laatste geval vrees ik nog veel ongepatchte devices :).
Google has said that its own Pixel devices will be the first to get a patch for the attack, and that will come on November 6th. Other manufacturers will likely push Android updates to fix the flaw sometime after Google, but given the number of Android devices still being used that won’t get a security update, old Android devices are likely to be the weakest link.
6 november pas, de traagste van de klas.
laroyj
Elite Poster
Elite Poster
Berichten: 2006
Lid geworden op: 19 maa 2011, 08:42
Locatie: TIELT
Uitgedeelde bedankjes: 24 keer
Bedankt: 103 keer

.. bij mijn weten kon je mits speciale software en aparaatjes zoals wifirobin etc al jaren geleden wpa2 kraken...
Internet: Orange vast+4G+Telenet Basic + EDPNET SLA VDSL2 (85/20)
Telefonie: VOIP: EDPNET + Weepee + Cheapconnect + Internetcalls
GSM: Orange Arend60
Tablet: Ipad2/Android
TV: Orange Digt tv-Tv Vlaanderen-Canaal Digitaal-Stievie
Netwerk: Giga Orange/Telenet IPV4-Giga EDPNET SLA IPV4/IPV6-Giga FON-netwerk NanobridgeM5
radiometeor.be
BertG3
Administrator
Administrator
Berichten: 1784
Lid geworden op: 27 okt 2014, 20:46
Uitgedeelde bedankjes: 172 keer
Bedankt: 201 keer

Nee, al die tooltjes maakten gebruik van WPS waardoor er constant geprobeerd werd op een juiste code te vinden. Als dit gelukt was kon je inderdaad het wpa2 paswoord zien. Echter was de kans dat dit lukte niet echt zo groot...
TRiSS
Plus Member
Plus Member
Berichten: 112
Lid geworden op: 30 jan 2005, 14:59
Uitgedeelde bedankjes: 8 keer
Bedankt: 4 keer

Update van Datanews:
http://datanews.knack.be/ict/nieuws/bed ... 7448022833
Telenet laat weten dat de residentiële hardware, waaronder alle modems, wifi powerlines en access points niet geïmpacteerd zijn door het WPA2-lek. Klanten hoeven dus niets te ondernemen om hun telenet-hardware veilig te stellen. "De kwetsbaarheid was enkel aanwezig indien ook een bepaalde technische feature aanwezig was. In de enterprise-oplossingen (de hotspots op publieke locaties) is die feature uitgezet waardoor er geen risico meer is," klinkt het bij woordvoerster Isabelle Geeraerts. Wel wijst de operator op het belang dat consumenten ook hun eigen toestellen updaten.

Telenet zei gisteren al tegenover Data News dat het zo snel mogelijk met haar hardwarelevernacier Compal zou overleggen.
Op mijn eigen vraag aan telenet nog geen antwoord gehad.
i will live forever.... or die trying!
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Ik begrijp nog steeds niet waarom alle wireless-vendors en bedrijven plots allerlei berichten de wereld insturen over het al of niet beschikbaar hebben van patches ?

Dit is toch een client probleem ?
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Access Points kunnen ook client-functionaliteit bevatten he, bv wanneer ze als repeater werken. Ook 802.11r (fast roaming) is kwetsbaar, zij het via een andere en meer complexe methode dan via de vulnerability in de 4-way handshake die de hoofdmoot van de publicatie uitmaakt.

Maar een AP die deze functionaliteiten niet bevat is in principe ok. 802.11r is eerder zeldzaam in het gamma van consumentenrouters en repeater mode is sowieso al een afrader omwille van andere redenen.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

CCatalyst schreef:Access Points kunnen ook client-functionaliteit bevatten he, bv wanneer ze als repeater werken.
Volgens mij is dat nooit het geval bij TN/Proximus... al zou het verhaal van fast roaming wel kunnen bestaan (maar staat het dus uit bij TN).
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Weet er iemand wat de exacte KB is voor de MS patch?
Dus niet de rollup of andere cumulative update, maar de exacte patch?
Dan kan ik die fast-tracken en snel-snel laten installeren.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

r2504 schreef:Ik begrijp nog steeds niet waarom alle wireless-vendors en bedrijven plots allerlei berichten de wereld insturen over het al of niet beschikbaar hebben van patches ?

Dit is toch een client probleem ?
van wat ik eruit opmaak, moeten ZOWEL de AP als de clients een patch hebben om veilig te zijn.
dus: AP + ongepatchte client = onveilig
ongepatchte AP + client = onveilig
AP + client beide gepatcht = veilig
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

De hack zit hem in de re-request van stap 3 van de handshake.
Aangezien die handshake TCP based is, is het zeker niet abnormaal (zelfs ingebouwd in het protocol) om een packet opnieuw op te vragen.
De beveiliging daarrond kan wss aan twee zijden hulp gebruiken.
De client moet uiteraard opletten dat hij een resend aanvroeg alvorens eentje te accepteren, en de AP kan mogelijk wat extra beveiliging gebruiken om niet zomaar die derde stap opnieuw uit te zenden.
De WPA2 standaard zal wss ook wel aangepast worden (als dat nog niet gebeurd is), en dan zullen de APs die nieuwe versie ook gaan moeten respecteren (dus: updates).
laroyj
Elite Poster
Elite Poster
Berichten: 2006
Lid geworden op: 19 maa 2011, 08:42
Locatie: TIELT
Uitgedeelde bedankjes: 24 keer
Bedankt: 103 keer

ik geloof dat je destijds met die wifirobin binnen de 24 of 48h het wpa2 paswoord had, wep binnen enkele minuten....maar heb het toestel zeker al 2 jaar niet meer, maar destijds zelf wel getest.. natuurlijk, had je een paswoord van bvb 256 karakters ipv 10, dan kon het wel enkele weken duren...
Internet: Orange vast+4G+Telenet Basic + EDPNET SLA VDSL2 (85/20)
Telefonie: VOIP: EDPNET + Weepee + Cheapconnect + Internetcalls
GSM: Orange Arend60
Tablet: Ipad2/Android
TV: Orange Digt tv-Tv Vlaanderen-Canaal Digitaal-Stievie
Netwerk: Giga Orange/Telenet IPV4-Giga EDPNET SLA IPV4/IPV6-Giga FON-netwerk NanobridgeM5
radiometeor.be
Gebruikersavatar
Fatsie
Pro Member
Pro Member
Berichten: 378
Lid geworden op: 29 dec 2010, 20:15
Uitgedeelde bedankjes: 102 keer
Bedankt: 44 keer

Maar dat is dus een brute-force aanval op het wachtwoord (of waarschijnlijker: de WPS implementatie), hier gaat het om een probleem in het onderliggende protocol. Het maakt dus niet uit hoe lang of complex het wachtwoord is.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Splitter schreef:ongepatchte AP + client = onveilig
Volgens mij is het patchen van het AP enkel en alléén noodzakelijk indien het client functionaliteit heeft (wireless uplink, mesh, repeater, ... functies), ofwel ondersteuning voor Fast Romaing 802.11r
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

je hebt gelijk, lijkt idd dat het enkel is indien fast roaming of client functionaliteit op het AP aanwezig is.
was in eerste instantie niet helemaal duidelijk.

op krackattack.com:
However, the security updates will assure a key is only installed once, preventing our attack.
dus dan zou je KUNNEN denken: het AP updaten, dat zou zo'n key al moeten voorkomen?
Finally, although an unpatched client can still connect to a patched AP, and vice versa, both the client and AP must be patched to defend against all attacks!
dan ga je denken: ok, beide moeten geupdate worden of het heeft geen zin
In general though, you can try to mitigate attacks against routers and access points by disabling client functionality
ok, het AP updaten heeft dus (meestal) weinig zin...


nu ben ik eigenlijk het meest benieuwd naar welke vendors het snelst gaan zijn voor hun android te updaten.
ik vermoed dat ze in eerste instantie al op google moeten wachten, en die gaan pas in november een patch uitbrengen... (zwaar steekje laten vallen imho).
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Splitter schreef:was in eerste instantie niet helemaal duidelijk.
En het is het nog steeds niet helemaal... spijtig dat men hier niet wat concreter over is.
Splitter schreef:nu ben ik eigenlijk het meest benieuwd naar welke vendors het snelst gaan zijn voor hun android te updaten.
ik vermoed dat ze in eerste instantie al op google moeten wachten, en die gaan pas in november een patch uitbrengen... (zwaar steekje laten vallen imho).
https://tweakers.net/nieuws/130897/cust ... anval.html
fredo66
Elite Poster
Elite Poster
Berichten: 1956
Lid geworden op: 26 jan 2009, 09:29
Locatie: Gent
Uitgedeelde bedankjes: 351 keer
Bedankt: 155 keer

Je leest veel over de windows patch en de nog niet bestaande androidpatches maar niets over Mac. Ik neem aan dat die toch ook een patch nodig hebben ? Is die er al ?

Voor wat fritzboxen betreft, er staat een verklaring online. Daarin staat ondermeer dat de aanvaller dichter bij het accespoint zou moeten zitten dan de client ... Als dat waar is zal in mijn woning er niet veel gevaar zijn, mijn wifi geraakt nog niet op bovenverdieping :lol:
https://en.avm.de/news/short-notes/2017 ... re-secure/
EDPNET VDSL XS' - Fritzbox 7360v1 - Voip EDPNET in en Megavoip uit - One+ - Roku3 - PS4Pro
Gebruikersavatar
Fatsie
Pro Member
Pro Member
Berichten: 378
Lid geworden op: 29 dec 2010, 20:15
Uitgedeelde bedankjes: 102 keer
Bedankt: 44 keer

r2504 schreef:Volgens mij is het patchen van het AP enkel en alléén noodzakelijk indien het client functionaliteit heeft (wireless uplink, mesh, repeater, ... functies), ofwel ondersteuning voor Fast Romaing 802.11r
Dat is inderdaad ook wat ik van een vendor te horen krijg;
Cisco: Among these ten vulnerabilities, only one (CVE-2017-13082) may affect components of the wireless infrastructure (for example, Access Points), the other nine vulnerabilities affect only client devices.

Maar er lijkt toch niet echt consensus over te zijn binnen de industrie;
AeroHive: The set of CVE numbers (CVE-2017-13077 thru CVE-2017-2017-13088) are broadly applicable to all vendors of wifi products, including Aerohive. Out of these CVEs, 9 are directly related to clients but can be mitigated with AP software updates. The one CVE related to AP or Infrastructure equipment is regarding 802.11r Fast Roaming, which can be addressed by temporarily disabling it in customer networks who are unable to promptly update their access points.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

*sigh* en zo zijn we dus nog steeds niet verder...
ik hoop iig dat het inderdaad te vermijden valt met een geupdate AP (bv doordat het geen 0-key meer zou aanvaarden of retransmissie niet zou aanvaarden of ...)
heb ergens in de vlugte gelezen gehad dat het kwam omdat er een resp gezonden werd ipv req of omgekeerd, en dat omgekeerd had moeten zijn.
in dat geval lijkt het me wel mogelijk dat het AP updaten genoeg kan zijn voor het gros van de problemen te voorkomen.

heb hier anders nog wel toestellen die buiten de boot gaan vallen denk ik (paar chinese smartphones, oudere ipad, ...)
en mag ook niet vergeten mijn Rpi te updaten :roll:
johan.devos
Elite Poster
Elite Poster
Berichten: 1266
Lid geworden op: 14 mei 2008, 15:36
Locatie: Bevergem :-)
Uitgedeelde bedankjes: 249 keer
Bedankt: 170 keer
Recent bedankt: 3 keer

Op BleepingComputer staat een mooi overzicht met reacties van verschillende bedrijven en beschikbare patches

https://www.bleepingcomputer.com/news/s ... erability/
DidierS
Plus Member
Plus Member
Berichten: 200
Lid geworden op: 24 jul 2012, 08:46
Twitter: ON8SD
Locatie: JO11ib
Uitgedeelde bedankjes: 11 keer
Bedankt: 25 keer

Fing heeft ook net een aankondiging gedaan van een software-update van hun fingbox om je netwerk te beschermen tegen deze vorm van aanvallen:
https://www.fing.io/krack-attack-detection-fingbox/
Plaats reactie

Terug naar “Netwerken en Security”