ESET ontdekt Kr00k: Meer dan een miljard apparaten liep risico

26 februari 2020, Sliedrecht – ESET-onderzoekers hebben Kr00k (CVE-2019-15126) ontdekt, een nog niet eerder bekende kwetsbaarheid in de WiFi-chip die wordt gebruikt in veel gebruikersapparatuur, WiFi-toegangspunten en routers.

Kr00k is een kwetsbaarheid die netwerkcommunicatie op een getroffen apparaat versleutelt met een encryptiesleutel bestaande uit enkel nullen. Bij een succesvolle aanval stelt dit de kwaadwillende in staat op draadloze netwerkpakketjes te ontsleutelen.

De ontdekking van Kr00k volgt op eerder onderzoek van ESET waaruit bleek dat Amazon Echo kwetsbaar is voor KRACKs (Key Reinstallation Attacks). Kr00k is gerelateerd aan KRACK, maar ook fundamenteel anders. Tijdens het onderzoek naar KRACK, hebben ESET-onderzoekers Kr00k geïdentificeerd als één van de achterliggende oorzaken van “herinstallatie” van een kwetsbare encryptiesleutel die geobserveerd werd in testen voor KRACK-aanvallen. Na ons onderzoek hebben de meeste grote fabrikanten van relevante apparaten patches gepubliceerd.

Kr00k is vooral gevaarlijk omdat het meer dan een miljard apparaten trof die gebruik maken van WiFi. ESET zal het onderzoek naar deze kwetsbaarheid voor het eerst presenteren tijdens de RSA Conference 2020 op 26 februari.

Kr00k heeft gevolgen voor alle apparaten met Broadcom- en Cypress-WiFi-chips die niet gepatcht zijn. Dit zijn WiFi-chips die vandaag de dag het meest worden gebruikt in gebruikersapparatuur. WiFi-toegangspunten en routers zijn ook getroffen door deze kwetsbaarheid, waardoor zelfs omgevingen met gepatchte gebruikersapparatuur kwetsbaar zijn. ESET heeft de volgende apparaten getest en bevestigd dat ze tot de kwetsbare apparaten behoorden: Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus), Samsung (Galaxy), Raspberry (Pi 3),  Xiaomi (Redmi) en toegangspunten van Asus en Huawei.

ESET heeft de kwetsbaarheid bekendgemaakt aan chip-fabrikanten Broadcam en Cypress, waarna zij patches hebben gepubliceerd. We hebben samen met het Industry Consortium for Advancement of Security on the Internet (ICASI) gewerkt om ervoor te zorgen dat alle mogelijk betrokken partijen op de hoogte werden gebracht van Kr00k, waaronder de fabrikanten van de apparaten waarin de kwetsbare chips werden gebruikt en fabrikanten van andere, mogelijk getroffen, chips. Volgens de laatste berichtgeving zijn de apparaten van de grote fabrikanten inmiddels gepatcht.

“Kr00k manifesteert zichzelf na WiFi-dissociaties, wat uit zichzelf kan gebeuren door bijvoorbeeld een zwak WiFi-signaal, maar het kan ook handmatig veroorzaakt worden door een aanvaller. Wanneer een aanval succesvol is, kunnen kilobytes aan mogelijk gevoelige informatie blootgesteld worden,” legt Miloš Čermák, hoofd in het onderzoek naar Kr00K-kwetsbaarheid. “Door meerdere malen dissociaties te veroorzaken, kan de aanvaller een aantal netwerkpakketjes met mogelijk gevoelige data onderscheppen,” voegt hij toe.

“Om jezelf als gebruiker te beveiligen, kun je het beste ervoor zorgen dat alle apparaten met WiFi-toegang, inclusief telefoons, tablets, laptops, slimme IoT-apparaten, en WiFi-toegangspunten en routers geüpdatet zijn en de nieuwste firmware-versie gebruiken,” adviseert Robert Lipovský, een ESET-onderzoeker die in het Kr00k-onderzoeksteam werkt. “Een grote zorg is dat niet alleen client apparaten, maar ook WiFi-toegangspunten en routers getroffen zijn door Kr00k. Dit vergroot het aanvalsrisico omdat data die door een kwetsbaar toegangspunt wordt verstuurd naar een niet-kwetsbaar apparaat, wat vaak buiten onze controle ligt, ontsleuteld kan worden door een kwaadwillende.”

Voor meer technische informatie over Kr00k, kun je de whitepaper Kr00k – CVE-2019-15126: Serious vulnerability deep inside your WiFi encryption en het bijbehorende blog lezen.

Over ESET

Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke “in-the-wild” malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook en Twitter.