Microsoft advarer: Pas på ny VPN-sårbarhed

Microsoft advarer: Der er mulighed for angreb, der sigter efter tyveri af dine adgangskoder til de trådløse netværk.

Artikel top billede

Computerworld News Service: Microsoft advarer brugere af Windows om muligheden for såkaldte man-in-the-middle-angreb, der er i stand til at stjæle adgangskoder til visse trådløse netværk og VPN'er (virtuelle private netværk).

Selskabet har dog ikke i sinde at udgive nogen sikkerhedsopdatering for at løse problemet.

Sikkerhedsmeddelelsen fra i mandags er Microsofts reaktion på en offentliggørelse for nogle uger siden fra sikkerhedseksperten Moxie Marlinspike under sikkerhedskonferencen Defcon.

I et blogindlæg få dage efter hans præsentation ved Defcon forklarer Marlinspike, hvorfor han er så interesseret i MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2). "Selvom det er en aldrende protokol, der kritiseres vidt og bredt, er den stadig i ret udbredt anvendelse," siger Marlinspike. "Navnlig anvendes den i PPTP VPN'er og bruges også ret udbredt i WPA2 Enterprise-miljøer."

Samtidig offentliggjorde Marlinspike værktøjet Chapcrack, der parser data for adgangskoder krypteret med MS-CHAP v2, som det derefter afkoder ved hjælp af servicen CloudCracker, der bruges af for eksempel penetrationstestere til at knække adgangskoder.

Microsoft erkender problemet.

"En angriber, der med succes udnytter disse kryptografiske svagheder, kan få adgang til brugeroplysninger," står der i Microsofts sikkerhedsmeddelelse.

"Disse brugeroplysninger kan derefter blive genbrugt til at give angriberen adgang til netværksressourcer og angriberen kan foretage enhver handling, som den pågældende bruger kan foretage på en given netværksressource."

Indbygget løsning

MS-CHAP v2 bruges til at godkende brugere i PPTP-baserede (Point-to-Point Tunneling Protocol) VPN'er. Windows har en indbygget implementering af PPTP.

For at kunne bruge Chapcrack skal en angriber først opsnappe datapakker, der overføres via VPN eller Wi-Fi.

Det mest sandsynlige scenarie er spoofing af et legitimt trådløst hotspot såsom i en lufthavn for at sniffe sig frem til VPN- eller anden trafik, som derefter kan opsnappes.

Men Microsoft kommer ikke til at udgive en opdatering, der lukker sårbarheden.

"Dette er ikke en sikkerhedssårbarhed, der kræver, at Microsoft udgiver en sikkerhedsopdatering," står der i sikkerhedsmeddelelsen fra i mandags.

Sådan bør du gøre som it-administrator

"Dette problem er på grund af kendte kryptografiske svagheder i MS-CHAP v2-protokollen og løses ved at implementere konfigurationsændringer."
Microsoft anbefaler, at man som it-administrator tilføjer PEAP (Protected Extensible Authentication Protocol) for at sikre adgangskoder til VPN-sessioner.

Et support-dokument fra Microsoft beskriver, hvordan man konfigurerer servere og klienter til PEAP.

Som Marlinspike bemærker, stammer MS-CHAP v2 helt tilbage fra Windows NT SP4 og Windows 98 og er for flere år siden blevet stemplet som usikker, hovedsagelig fordi protokollen er sårbar overfor såkaldte ordbogsangreb, hvor hackere afprøver et stort antal mulige adgangskoder.

Windows 7 understøtter MS-CHAP v2 ligesom Windows XP og Vista samt Windows Server 2003, Server 2008 og Server 2008 R2 gør.

Mindst siden 2007 med udgivelsen af AsLEAP 2.1 har der været værktøj tilgængelige til at knække MS-CHAP v2.

Microsoft påpeger, at selskabet ikke har observeret et eneste angreb, der gør brug af Marlinspikes Chapcrack.

Oversat af Thomas Bøndergaard

Navnenyt fra it-Danmark

Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
Netip A/S har pr. 1. maj 2026 ansat Steffen Bendix Søjberg som Systemkonsulent ved netIP's kontor i Rødekro. Han kommer fra en stilling som Systemadministr,og har været i branchen i mange år. Nyt job
IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

Marlene Gudman

IFS Danmark A/S

IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

Sarah Warm

IFS Danmark A/S