Artikel top billede

Microsoft advarer: Pas på ny VPN-sårbarhed

Microsoft advarer: Der er mulighed for angreb, der sigter efter tyveri af dine adgangskoder til de trådløse netværk.

Computerworld News Service: Microsoft advarer brugere af Windows om muligheden for såkaldte man-in-the-middle-angreb, der er i stand til at stjæle adgangskoder til visse trådløse netværk og VPN'er (virtuelle private netværk).

Selskabet har dog ikke i sinde at udgive nogen sikkerhedsopdatering for at løse problemet.

Sikkerhedsmeddelelsen fra i mandags er Microsofts reaktion på en offentliggørelse for nogle uger siden fra sikkerhedseksperten Moxie Marlinspike under sikkerhedskonferencen Defcon.

I et blogindlæg få dage efter hans præsentation ved Defcon forklarer Marlinspike, hvorfor han er så interesseret i MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2). "Selvom det er en aldrende protokol, der kritiseres vidt og bredt, er den stadig i ret udbredt anvendelse," siger Marlinspike. "Navnlig anvendes den i PPTP VPN'er og bruges også ret udbredt i WPA2 Enterprise-miljøer."

Samtidig offentliggjorde Marlinspike værktøjet Chapcrack, der parser data for adgangskoder krypteret med MS-CHAP v2, som det derefter afkoder ved hjælp af servicen CloudCracker, der bruges af for eksempel penetrationstestere til at knække adgangskoder.

Microsoft erkender problemet.

"En angriber, der med succes udnytter disse kryptografiske svagheder, kan få adgang til brugeroplysninger," står der i Microsofts sikkerhedsmeddelelse.

"Disse brugeroplysninger kan derefter blive genbrugt til at give angriberen adgang til netværksressourcer og angriberen kan foretage enhver handling, som den pågældende bruger kan foretage på en given netværksressource."

Indbygget løsning

MS-CHAP v2 bruges til at godkende brugere i PPTP-baserede (Point-to-Point Tunneling Protocol) VPN'er. Windows har en indbygget implementering af PPTP.

For at kunne bruge Chapcrack skal en angriber først opsnappe datapakker, der overføres via VPN eller Wi-Fi.

Det mest sandsynlige scenarie er spoofing af et legitimt trådløst hotspot såsom i en lufthavn for at sniffe sig frem til VPN- eller anden trafik, som derefter kan opsnappes.

Men Microsoft kommer ikke til at udgive en opdatering, der lukker sårbarheden.

"Dette er ikke en sikkerhedssårbarhed, der kræver, at Microsoft udgiver en sikkerhedsopdatering," står der i sikkerhedsmeddelelsen fra i mandags.

Sådan bør du gøre som it-administrator

"Dette problem er på grund af kendte kryptografiske svagheder i MS-CHAP v2-protokollen og løses ved at implementere konfigurationsændringer."
Microsoft anbefaler, at man som it-administrator tilføjer PEAP (Protected Extensible Authentication Protocol) for at sikre adgangskoder til VPN-sessioner.

Et support-dokument fra Microsoft beskriver, hvordan man konfigurerer servere og klienter til PEAP.

Som Marlinspike bemærker, stammer MS-CHAP v2 helt tilbage fra Windows NT SP4 og Windows 98 og er for flere år siden blevet stemplet som usikker, hovedsagelig fordi protokollen er sårbar overfor såkaldte ordbogsangreb, hvor hackere afprøver et stort antal mulige adgangskoder.

Windows 7 understøtter MS-CHAP v2 ligesom Windows XP og Vista samt Windows Server 2003, Server 2008 og Server 2008 R2 gør.

Mindst siden 2007 med udgivelsen af AsLEAP 2.1 har der været værktøj tilgængelige til at knække MS-CHAP v2.

Microsoft påpeger, at selskabet ikke har observeret et eneste angreb, der gør brug af Marlinspikes Chapcrack.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


Sats på DevOps og få mere kvalitet og hastighed i både udvikling og drift

Der er mange potentielle gevinster at hente ved at satse på DevOps. Rigtig mange danske virksomheder er allerede i gang. På denne konference får du et indblik i mulighederne med DevOps og gode råd, der kan sikre dig succesen.

02. november 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere