Det var sikkerhetsforskere som nylig identifiserte sårbarheter i 802.11 standarden. Samt hvordan denne standarden har blitt implementert. De fant sikkerhetshullene i «frame aggregation» og «frame fragmentation» funksjonaliteten i standarden, herav navnet FragAttack. Feilene gjør det mulig for en angriper å forfalske krypterte frames. Disse kan så benyttes for å hente ut sensitive data fra en angrepet enhet. FragAttack består av 12 ulike sårbarheter (CVE-er) som inkluderer flere angrepsmetoder. Hvorav noen utnytter identifiserte designfeil i selve 802.11 protokollen mens andre utnytter hvordan protokollen er blitt implementert.

Lengre ned i bloggen finner du 10 tips fra Telenor og Cisco for å gjøre det vanskeligere for angriperne.

Tre av de oppdagede sårbarhetene er designfeil i Wi-Fi-standarden og påvirker derfor de fleste Wi-Fi-enheter. Den gode nyheten er at det ikke er rett frem å utnytte disse protokolldesignfeilene på en enkel måte, og det er ikke kjent at disse feilene har blitt utnyttet til å utføre angrep.

Ulike tester indikerer at hver Wi-Fi enhet påvirkes av minst én sårbarhet, men de fleste er berørt av flere. De nå kjente sikkerhetshullene påvirker alle moderne sikkerhetsprotokoller for Wi-Fi. Det vil si at alle enheter som benytter seg av Wi-Fi-protokollen (802.11) er utsatt for FragAttack sårbarhetene. Med andre ord så gjelder det alle Wi-Fi-aksesspunkter og Wi-Fi-klienter utsatt for de nevnte sårbarhetene. Den nyeste WPA2/WPA3-spesifikasjonen skal ikke ha blitt kompromittert av FragAttack sårbarheten.

Trolig har de nylig oppdagede designfeilene vært en del av Wi-Fi standarden helt siden lanseringen i 1997. Heldigvis er bristene vanskelige for datakriminelle å misbruke fordi det krever brukerinteraksjon, eller er kun mulig når visse uvanlige nettverksinnstillinger er valgt. I dag er det vanlig å beskytte Wi-Fi-trafikken på andre måter (TLS er ofte brukt), så trusselen med denne sårbarheten er minimert.

En potensiell måte å utnytte sårbarhetene på er å klone det trådløse Wi-Fi-nettverket (man- in-the-middle angrep) ved å lokke enheter til å koble seg til angriperens aksesspunkt/nettverk, i stedet for brukerens/virksomhetens eget. Angriperen har da full kontroll på det klonede nettverket og kan lede trafikken herifra til falske nettsider ved å bruke endret DNS-informasjon. Dette kan man gjøre ved å sende brukeren en e-post som laster en «bildefil» som er helt spesielt utformet for dette formålet.

Dersom trafikken kan nedgraderes fra HTTPS til HTTP, noe som vil si ukryptert trafikk, vil det være mulig å stjele sensitiv informasjon. I dag er det dog flere nyere nettlesere som ikke godtar dette uten videre, men brukere bør uansett være oppmerksom på at sensitiv informasjon aldri bør oppgis på nettsider som ikke er kryptert med HTTPS. Dette kan du se som en hengelås i adressefeltet i din nettleser.

Det vil også være mulig å få full tilgang til en Windows-maskin bak en brannmur. Men her er det riktignok utdaterte maskiner med Windows 7 som vil kunne være et mål for sofistikerte angrep ved å bruke ondsinnet DNS kilde, pakkeinjeksjoner og forsere brannmurer.

For at en datakriminell skal ta i bruk FragAttack sårbarhetene i et angrep krever dette altså at angriperen er innenfor rekkevidde av den trådløse infrastrukturen/klienten de skal angripe. Det er først da de kan innta en Man-in-the-Middle posisjon før de kan manipulere og injisere frames. Noen av sårbarhetene krever også at Sosial manipulasjon tas i bruk.

De fleste av angrepene knyttet til FragAttack involverer flere steg:

- En angriper forsøker å injisere manipulerte 802.11 frames adressert til målet for angrepet, dvs. enten et trådløst aksesspunkt eller en trådløs klient.

- Et Man-in-the-Middle angrep kan benyttes hvis den trådløse infrastrukturen ikke benytter seg av sikkerhetsmekanismer som blokkerer eller alarmerer for denne type angrep. Angriperen kan så injisere data i frame fragmenter som så kan gi tilgang til å hente ut data fra nettverket eller få enheten til å benytte en falsk DNS-server for ytterligere utnyttelse.

 - Noen av sårbarhetene knyttet til FragAttack krever et visst sosial manipulasjons aspekt, for eksempel for å få en bruker til å klikke på en web-link eller navigere brukeren til en URL kontrollert av angriperen.

Så som man forstår er angrepsformen innviklet og du skal virkelig vite hva du gjør for å gjennomføre et FragAttack. Uansett er det en del sikkerhetstiltak man kan sørge for å ha på plass for å forbedre den generelle nettverkssikkerheten. Det er definitivt mange andre angrepsvektorer en angriper vil benytte i stedet, og derfor vil det være et «must» å ha på plass gode nettverks- og sikkerhetsrutiner.

Så langt Telenor og Cisco kjenner til, så er det per nå ingen tilfeller av vellykkede angrep hvor noen faktisk har utnyttet FragAttack. Heller ikke i følge Wi-Fi Alliance finnes det per i dag bevis på at nevnte sårbarheter har blitt utnyttet på en ondsinnet måte mot Wi-Fi klienter/brukere.