Sicherheitsforscher haben eine kritische Sicherheitsl\u00fccke im RADIUS-Protokoll entdeckt, die es Angreifern erm\u00f6glicht, unbefugten Zugriff auf Netzwerke zu erlangen, ohne das erforderliche Passwort zu kennen. Die Schwachstelle namens „Blast-RADIUS“ erm\u00f6glicht es einem Angreifer, sich als sogenannter „Man-in-the-Middle“ zwischen dem lokalen und dem zentralen Server der RADIUS-Installation zu positionieren und die Authentifizierung \u00fcber das Extensible Authentication Protocol (EAP) zu umgehen.<\/p>\n
Bisher handelt es sich bei diesem Angriff um ein theoretisches Szenario, da es den Forschern nicht gelungen ist, die Schwachstelle innerhalb des Zeitrahmens einer typischen RADIUS-Installation auszunutzen. Allerdings k\u00f6nnte dies ge\u00e4ndert werden, wenn ein entschlossener Angreifer die erforderlichen Hardware-Ressourcen nutzt, um die Berechnungen zu beschleunigen. Die Forscher haben ihren spezifischen Angriffscode bisher nicht ver\u00f6ffentlicht, um potenziellen Angreifern keinen Vorteil zu verschaffen.<\/p>\n
Das RADIUS-Protokoll wird insbesondere in Unternehmensumgebungen verwendet, um die Verwaltung von Ger\u00e4ten in gro\u00dfen Netzwerken zu erm\u00f6glichen. Es wird f\u00fcr die Anmeldung von Computern und Mobilger\u00e4ten in LAN- und WLAN-Netzwerken, zur Verwaltung von VPN-Zug\u00e4ngen sowie zur Beschr\u00e4nkung des Zugriffs auf sicherheitskritische Netzwerkinfrastrukturen eingesetzt. Auch Internetdienstanbieter nutzen RADIUS zur Durchf\u00fchrung von Logins f\u00fcr DSL-, Glasfaser- und Mobilfunkanschl\u00fcsse. Dar\u00fcber hinaus wird das Protokoll in Eduroam und OpenRoaming eingesetzt, um Benutzern einen dynamischen Zugang zu WLAN-Netzwerken zu erm\u00f6glichen.<\/p>\n
Das Eduroam-Netzwerk ist von der Blast-RADIUS-Schwachstelle nicht betroffen, da es bereits Sicherheitsvorkehrungen implementiert hat, um die Ausnutzung dieser Schwachstelle zu verhindern. Bei einer herk\u00f6mmlichen RADIUS-Installation gibt es einen lokalen Server, der mit einem zentralen Server verbunden ist und alle Benutzerkonten verwaltet. Um Zugang zu einem spezifischen Netzwerk zu erhalten, sendet das Netzwerkger\u00e4t eine Anfrage an den lokalen Server, die Nutzername und Passwort enth\u00e4lt. Der Angreifer f\u00e4ngt diese Anfrage ab und nutzt bekannte Sicherheitsl\u00fccken im veralteten Hashing-Algorithmus MD5, um eine gef\u00e4lschte Zugriffserlaubnis an den Client weiterzuleiten.<\/p>\n
Um sich vor dieser Sicherheitsl\u00fccke zu sch\u00fctzen, sollten Netzwerkadministratoren ihre RADIUS-Installation absichern. Alle f\u00fchrenden RADIUS-Softwarehersteller haben bereits entsprechende Updates ver\u00f6ffentlicht, die umgehend installiert werden sollten. Die Forscher empfehlen zudem, das Message-Authenticator-Attribut f\u00fcr alle Pakete zu erzwingen, um die Sicherheitsl\u00fccke zu verhindern. Des Weiteren haben sie einen Vorschlag zur \u00c4nderung des RADIUS-Protokolls gemacht, um zuk\u00fcnftige Versionen von Anfang an sicher zu gestalten.<\/p>\n
Um die Sicherheit von RADIUS-Installationen weiter zu verbessern, wird empfohlen, Verbindungen zwischen Client und Server mit moderner Verschl\u00fcsselung (wie TLS 1.3) abzusichern. Dadurch wird die Durchf\u00fchrung von Man-in-the-Middle-Angriffen erschwert. RADIUS-Installationen, die EAP zur Authentifizierung nutzen, sind nach aktuellen Erkenntnissen nicht von Blast-RADIUS-Angriffen betroffen.<\/p>\n
Schlagw\u00f6rter: Microsoft + RADIUS + EAP<\/p>\n","protected":false},"excerpt":{"rendered":"
Sicherheitsforscher haben eine kritische Sicherheitsl\u00fccke im RADIUS-Protokoll entdeckt, die es Angreifern erm\u00f6glicht, unbefugten Zugriff auf Netzwerke zu erlangen, ohne das erforderliche Passwort zu kennen. Die Schwachstelle namens „Blast-RADIUS“ erm\u00f6glicht es einem Angreifer, sich als sogenannter „Man-in-the-Middle“ zwischen dem lokalen und dem zentralen Server der RADIUS-Installation zu positionieren und die Authentifizierung...<\/p>\n","protected":false},"author":4,"featured_media":9386,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-9387","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/9387","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=9387"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/9387\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/9386"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=9387"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=9387"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=9387"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}