Erkennung von FragAttacks: Überblick über neu entdeckte WiFi-Schwachstellen
Inhaltsverzeichnis:
Erneut sollten sich Sicherheitspraktiker wappnen und ihre Kaffeebestände überprüfen, aufgrund eines kürzlich identifizierten Satzes von Sicherheitslücken im Wi-Fi-Standard. Gemeinsam als FragAttacks bezeichnet, betreffen diese Schwachstellen nahezu alle drahtlos aktivierten Geräte und ermöglichen es Angreifern, die Kontrolle über die anfälligen Systeme zu übernehmen, um geheime Informationen abzufangen. Mathy Vanhoef, ein Sicherheitsexperte, der diese verblüffenden Fehler aufdeckte, gibt an, dass buchstäblich alle Wi-Fi-Produkte von mindestens einem Problem betroffen sind, wobei die meisten von mehreren Schwachstellen gefährdet sind.
Was sind FragAttacks?
FragAttacks, die für frgmentierungs- und aggregationsangriffe stehen, leiten sich aus dem ursprünglichen Design der Wi-Fi-Protokolle sowie aus mehreren programmierungsbedingten Fehleinstellungen ab, die in Wi-Fi-Geräte eingeführt wurden. Insgesamt haben Sicherheitsforscher 12 Probleme identifiziert, die möglicherweise zu einer Exfiltration sensibler Daten führen können. Bemerkenswerterweise beeinträchtigen die aufgedeckten Fehler alle modernen Sicherheitsprotokolle von Wi-Fi, einschließlich WPA3-Spezifikation und WEP. Dies bedeutet, dass einige der identifizierten Schwachstellen bereits 1997 eingeführt wurden und drahtlose Produkte seit mehr als zwei Jahrzehnten betreffen.
Die gute Nachricht ist, dass Protokolldesign-Probleme schwer auszunutzen sind und es keine Beweise gibt, dass diese Schwachstellen jemals in freier Wildbahn ausgenutzt wurden. Dennoch betreffen nur drei Schwachstellen den Wi-Fi-Standard selbst. Andere Fehler resultieren aus Programmierfehlern, die sehr einfach zu nutzen sind.
Ein aufschlussreiches Papier von Mathy Vanhoef, einem erfahrenen Experten für Wi-Fi-Sicherheit, hebt mindestens drei Ausnutzungsszenarien hervor. Zunächst könnten Angreifer die Schwachstellen nutzen, um an die Anmeldedaten des Opfers zu gelangen. Zweitens könnten Hacker exponierte Internet-of-Things (IoT)-Geräte ausnutzen, indem sie eine smarte Steckdose ein- und ausschalten. Drittens könnten die Sicherheitslücken ausgenutzt werden, um mit ausgefeilten Angriffen fortzufahren, einschließlich solcher, die darauf abzielen, die Kontrolle über veraltete Windows 7-Installationen in einem lokalen Netzwerk zu übernehmen.
Forscher glauben, dass bestehende Wi-Fi-Schwachstellen genutzt werden könnten, um zwei Hauptziele zu erreichen: gestohlene vertrauliche Details und die Kontrolle über anfällige Maschinen in einem privaten Netzwerk zu übernehmen. Das zweite Ziel ist bedrohlicher, aber wahrscheinlich, da Smart-Home- und IoT-Geräte häufig relevante Updates und ordnungsgemäße Cybersicherheitsverteidigungen fehlen.
Erkennung und Abmilderung von FragAttacks
Der Satz von FragAttack-Schwachstellen wurde nach einer neuneinmonatigen Sperrfrist öffentlich gemacht, die die Wi-Fi Alliance genutzt hat, um ihre Standards und Richtlinien unter der Aufsicht des Industry Consortium for Advancement of Security on the Internet (ICASI) zu modernisieren. Ebenfalls hat sich die Allianz mit namhaften Wi-Fi-Produktanbietern zusammengeschlossen, um Firmware-Patches herauszubringen. Die neueste ICASI-Erklärung vermittelt einen umfassenden Überblick über bestehende Abmilderungen und gibt an, dass nicht alle Anbieter die erforderlichen Updates veröffentlicht haben. Benutzer werden aufgefordert, die bestehenden Hinweise zu prüfen und ihre Geräte so schnell wie möglich zu patchen.
Um die Cybersicherheitsgemeinschaft in ihren Bemühungen zur Bekämpfung von FragAttacks zu unterstützen, hat das SOC Prime Team eine Community-Sigma-Regel veröffentlicht, die hilft, die Anwesenheit von Schwachstellen in Ihrem Netzwerk zu erkennen. Dieses Code-Stück ist eine einfache Schlüsselwortregel, die nach 12 möglichen CVEs sucht, die mit FragAttack in Verbindung stehen. Obwohl diese Regel das CVE-Verhalten selbst nicht erkennt, kann sie nützlich sein, um SecOps-Teams über die Bedrohungen zu informieren, die die organisatorische Infrastruktur gefährden.
https://tdm.socprime.com/tdm/info/0rQ9ZcuYHfvm/#sigma
Die Regel hat Übersetzungen in die folgenden Sprachen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, FireEye
EDR: SentinelOne
Abonnieren Sie den Threat Detection Marketplace, eine leistungsstarke Plattform für Detection as Code, die Sicherheitspraktikern hilft, ihre Cyberverteidigungsfähigkeiten zu verbessern und die mittlere Zeit zur Angriffserkennung zu verkürzen. Unsere SOC-Inhaltsbibliothek aggregiert über 100K Erkennungsalgorithmen und Bedrohungssuche-Anfragen, die auf CVE und MITRE ATT&CK® Frameworks abgebildet sind. Enthusiastisch, Ihre Fähigkeiten im Threat Hunting zu monetarisieren? Treten Sie unserem Threat Bounty-Programm bei, um Ihre eigenen Erkennungsinhalte zu erstellen und Belohnungen für Ihren Beitrag zu erhalten!
