FEHLER!

Kritische Sicherheitslücke im RADIUS-Protokoll ermöglicht unbefugten Netzwerkzugriff – Wie Sie sich schützen können

Sicherheitsforscher haben eine kritische Sicherheitslücke im RADIUS-Protokoll entdeckt, die es Angreifern ermöglicht, unbefugten Zugriff auf Netzwerke zu erlangen, ohne das erforderliche Passwort zu kennen. Die Schwachstelle namens „Blast-RADIUS“ ermöglicht es einem Angreifer, sich als sogenannter „Man-in-the-Middle“ zwischen dem lokalen und dem zentralen Server der RADIUS-Installation zu positionieren und die Authentifizierung über das Extensible Authentication Protocol (EAP) zu umgehen.

Bisher handelt es sich bei diesem Angriff um ein theoretisches Szenario, da es den Forschern nicht gelungen ist, die Schwachstelle innerhalb des Zeitrahmens einer typischen RADIUS-Installation auszunutzen. Allerdings könnte dies geändert werden, wenn ein entschlossener Angreifer die erforderlichen Hardware-Ressourcen nutzt, um die Berechnungen zu beschleunigen. Die Forscher haben ihren spezifischen Angriffscode bisher nicht veröffentlicht, um potenziellen Angreifern keinen Vorteil zu verschaffen.

Das RADIUS-Protokoll wird insbesondere in Unternehmensumgebungen verwendet, um die Verwaltung von Geräten in großen Netzwerken zu ermöglichen. Es wird für die Anmeldung von Computern und Mobilgeräten in LAN- und WLAN-Netzwerken, zur Verwaltung von VPN-Zugängen sowie zur Beschränkung des Zugriffs auf sicherheitskritische Netzwerkinfrastrukturen eingesetzt. Auch Internetdienstanbieter nutzen RADIUS zur Durchführung von Logins für DSL-, Glasfaser- und Mobilfunkanschlüsse. Darüber hinaus wird das Protokoll in Eduroam und OpenRoaming eingesetzt, um Benutzern einen dynamischen Zugang zu WLAN-Netzwerken zu ermöglichen.

Das Eduroam-Netzwerk ist von der Blast-RADIUS-Schwachstelle nicht betroffen, da es bereits Sicherheitsvorkehrungen implementiert hat, um die Ausnutzung dieser Schwachstelle zu verhindern. Bei einer herkömmlichen RADIUS-Installation gibt es einen lokalen Server, der mit einem zentralen Server verbunden ist und alle Benutzerkonten verwaltet. Um Zugang zu einem spezifischen Netzwerk zu erhalten, sendet das Netzwerkgerät eine Anfrage an den lokalen Server, die Nutzername und Passwort enthält. Der Angreifer fängt diese Anfrage ab und nutzt bekannte Sicherheitslücken im veralteten Hashing-Algorithmus MD5, um eine gefälschte Zugriffserlaubnis an den Client weiterzuleiten.

Um sich vor dieser Sicherheitslücke zu schützen, sollten Netzwerkadministratoren ihre RADIUS-Installation absichern. Alle führenden RADIUS-Softwarehersteller haben bereits entsprechende Updates veröffentlicht, die umgehend installiert werden sollten. Die Forscher empfehlen zudem, das Message-Authenticator-Attribut für alle Pakete zu erzwingen, um die Sicherheitslücke zu verhindern. Des Weiteren haben sie einen Vorschlag zur Änderung des RADIUS-Protokolls gemacht, um zukünftige Versionen von Anfang an sicher zu gestalten.

Um die Sicherheit von RADIUS-Installationen weiter zu verbessern, wird empfohlen, Verbindungen zwischen Client und Server mit moderner Verschlüsselung (wie TLS 1.3) abzusichern. Dadurch wird die Durchführung von Man-in-the-Middle-Angriffen erschwert. RADIUS-Installationen, die EAP zur Authentifizierung nutzen, sind nach aktuellen Erkenntnissen nicht von Blast-RADIUS-Angriffen betroffen.

Schlagwörter: Microsoft + RADIUS + EAP

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 10. Juli 2024