Protected Management Frames (PMF) sind im neuen WPA3-Verschlüsselungstandard Pflicht. Und das ist gut so! Denn Protected Management Frames können die bisher unverschlüsselten Management Frames schützen und so einige Angriffe auf das WLAN erschweren.
Unter anderem werden durch PMF die bekannten Offline-Brute-Force bzw. Dictionary Attacken erschwert, da ein 4-Way-Handshake nicht mehr so einfach provoziert werden kann, wie das noch bei WPA2 möglich war. Unter WPA2 konnte man den erneuten Austausch des zum Knacken wichtigen 4-Way-Handshake durch das Deauthentifizieren eines WLAN-Clients provozieren. WPA3 soll genau davor schützen, da nur ebenfalls authentifizierte WLAN-Geräte bzw. Access Points das Deauthentication-Frame verarbeiten.
Trotz WPA3 Endgeräte aus dem WLAN kicken (deauthentication)
Nun war ich letztes Jahr auf der WLPC 2023 in Prag anwesend und ich staunte nicht schlecht, als in einer abendlichen Session das Wireless Intrusion Prevention System (WIPS) AirDefense von Extreme Networks, einem bekannten Hersteller von professionellem Netzwerk- und WLAN-Equipment, vorgestellt wurde. Peter Mackenzie demonstrierte, dass es damit auch möglich war, einen WLAN-Client trotz WPA3 aus einem Rogue WLAN zu schmeißen.
Zwar wurde der Demo-Fall auf einen möglichen Bug im Client bei der Implementierung bei WPA3 bzw. PMF zurückgeführt, dennoch wurde mein Interesse geweckt und ich wollte daheim ausprobieren, welche Möglichkeiten bestehen, einen Client aus einem WPA3-WLAN zu schmeißen. Es war einfacher als gedacht.
Zuhause nutze ich Kali Linux und verwendete meinen in die Jahre gekommenen Super Range Cardbus von Ubiquiti Networks. Für Testzwecke ist der Adapter vollkommen ausreichend. Ihr könnt jeden beliebigen WLAN-Adapter nutzen, sofern er Monitor Mode und Packet Injektion unterstützt. Der AWUS036ACH von ALFA Networks ist eine gute Alternative und zudem 5-GHz-fähig.
Mit dem Airgeddon-Bash-Skript machte ich mich ans Werk. Unter WPA3 funktionierte weder die klassische Deauth Attacke mit mdk4 (Option 5) noch die Deauth Version über aireplay (Option 6). Daher probierte ich Option 7 und startete damit die WIDS / WIPS / WDS Confusion attack, bei dem Airgeddon verschiedene Angriffsvektoren ausprobiert, um den Client vom Access Point zu trennen. Das Resultat seht ihr im oberen Video.
Ich möchte bewusst nicht auf die Details des Angriffs eingehen. Interessierte sehen alle wichtigen Details im Videomitschnitt, inklusive Paketmitschnitt. Das notwendige Grundwissen zur WLAN-Technologie natürlich vorausgesetzt.
Vielmehr möchte ich euer Bewusstsein schärfen: Nur wer die Schwächen einer eingesetzten Technologie kennt, kann geeignete Schutzmaßnahmen treffen. Ich war wirklich überrascht, wie zuverlässig und wenig aufwändig auch WPA3-Clients aus dem Netzwerk geschmissen werden können – trotz Protected Management Frames. Die Bedienung über Airgeddon ist kinderleicht und es ist kaum Vorwissen notwendig. Lediglich ein geeigneter WLAN-Adapter ist erforderlich.
WPA3 ist aus vielen anderen Gründen eine sinnvolle Weiterentwicklung. Nicht nur wegen PMF. Gut daher, dass WPA3 Voraussetzung für Wifi 6E und Wifi 7 im 6-GHz-Band geworden ist.