Microsoft advarer: Pas på ny VPN-sårbarhed

Microsoft advarer: Der er mulighed for angreb, der sigter efter tyveri af dine adgangskoder til de trådløse netværk.

Computerworld News Service: Microsoft advarer brugere af Windows om muligheden for såkaldte man-in-the-middle-angreb, der er i stand til at stjæle adgangskoder til visse trådløse netværk og VPN'er (virtuelle private netværk).

Selskabet har dog ikke i sinde at udgive nogen sikkerhedsopdatering for at løse problemet.

Sikkerhedsmeddelelsen fra i mandags er Microsofts reaktion på en offentliggørelse for nogle uger siden fra sikkerhedseksperten Moxie Marlinspike under sikkerhedskonferencen Defcon.

I et blogindlæg få dage efter hans præsentation ved Defcon forklarer Marlinspike, hvorfor han er så interesseret i MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2). "Selvom det er en aldrende protokol, der kritiseres vidt og bredt, er den stadig i ret udbredt anvendelse," siger Marlinspike. "Navnlig anvendes den i PPTP VPN'er og bruges også ret udbredt i WPA2 Enterprise-miljøer."

Samtidig offentliggjorde Marlinspike værktøjet Chapcrack, der parser data for adgangskoder krypteret med MS-CHAP v2, som det derefter afkoder ved hjælp af servicen CloudCracker, der bruges af for eksempel penetrationstestere til at knække adgangskoder.

Microsoft erkender problemet.

"En angriber, der med succes udnytter disse kryptografiske svagheder, kan få adgang til brugeroplysninger," står der i Microsofts sikkerhedsmeddelelse.

"Disse brugeroplysninger kan derefter blive genbrugt til at give angriberen adgang til netværksressourcer og angriberen kan foretage enhver handling, som den pågældende bruger kan foretage på en given netværksressource."

Indbygget løsning
MS-CHAP v2 bruges til at godkende brugere i PPTP-baserede (Point-to-Point Tunneling Protocol) VPN'er. Windows har en indbygget implementering af PPTP.

For at kunne bruge Chapcrack skal en angriber først opsnappe datapakker, der overføres via VPN eller Wi-Fi.

Det mest sandsynlige scenarie er spoofing af et legitimt trådløst hotspot såsom i en lufthavn for at sniffe sig frem til VPN- eller anden trafik, som derefter kan opsnappes.

Men Microsoft kommer ikke til at udgive en opdatering, der lukker sårbarheden.

"Dette er ikke en sikkerhedssårbarhed, der kræver, at Microsoft udgiver en sikkerhedsopdatering," står der i sikkerhedsmeddelelsen fra i mandags.

Sådan bør du gøre som it-administrator
"Dette problem er på grund af kendte kryptografiske svagheder i MS-CHAP v2-protokollen og løses ved at implementere konfigurationsændringer."
Microsoft anbefaler, at man som it-administrator tilføjer PEAP (Protected Extensible Authentication Protocol) for at sikre adgangskoder til VPN-sessioner.

Et support-dokument fra Microsoft beskriver, hvordan man konfigurerer servere og klienter til PEAP.

Som Marlinspike bemærker, stammer MS-CHAP v2 helt tilbage fra Windows NT SP4 og Windows 98 og er for flere år siden blevet stemplet som usikker, hovedsagelig fordi protokollen er sårbar overfor såkaldte ordbogsangreb, hvor hackere afprøver et stort antal mulige adgangskoder.

Windows 7 understøtter MS-CHAP v2 ligesom Windows XP og Vista samt Windows Server 2003, Server 2008 og Server 2008 R2 gør.

Mindst siden 2007 med udgivelsen af AsLEAP 2.1 har der været værktøj tilgængelige til at knække MS-CHAP v2.

Microsoft påpeger, at selskabet ikke har observeret et eneste angreb, der gør brug af Marlinspikes Chapcrack.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Årets CIO 2020

Siden 2006 har vi hvert år kåret Årets CIO - en pris der kaster lys over det fantastiske arbejde, der bliver gjort rundt omkring i de danske organisationer for at høste det store forretnings-potentiale, der kan drives ud af it og digitalisering.

01. december 2020 | Læs mere


Customer Experience 2021 - fokus på CX-strategi og teknologi til at forankre kundeoplevelsen

De gode kundeoplevelser er altafgørende for virksomheden, og netop derfor er det nødvendigt at have fokus på CX-strategi og teknologi, der kan være med til at forbedre kundeoplevelsen endnu mere. Det kræver tid og ressourcer, men det gavner hele virksomheden på lang sigt.

03. december 2020 | Læs mere


Træf det rigtige cloud-valg: Hør om mulighederne med hybrid- og multi-cloud

Vi kan ikke komme udenom, at cloud-teknologien bare vokser og vokser. Den giver adgang til store fordele for din virksomhed, men det kræver at virksomheden træffer strategiske, arkitektoniske og teknologiske vælg. Få indblik i, hvordan ud kan få sikkerhed, release cycles og andet til at gå op i en højere enhed.

09. december 2020 | Læs mere





mest debatterede artikler

Premium
Her er Microsofts planer med Windows for 2021: Pønser på fire nye versioner
Windows 10 vil udkomme i et væld af nye afskygninger i det kommende år. Få overblikket her.
Computerworld
Stein Bagger gør comeback i ny branche: "De lignede et mafiahold, førte sig frem som nyrige og plaprede løs om urealistiske drømme"
Stein Bagger har skiftet navn og fører sig nu frem i store biler i en helt ny branche, skriver en dansk avis.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Sådan kan du arbejde effektivt uanset tid, sted og type af enhed
Hvad nu hvis dit arbejde, din information, dine processer og teknologien bag ved, var organiseret på en måde så det passede til din organisation – alt sammen guidet af en intelligent udgave af det digitale arbejdsrum? Det er visionen bag Atea og Citrix´s samarbejde med digital workspace – en smartere og mere effektiv måde at arbejde på. I dette whitetpaper kan du derfor læse om, hvordan du kan skabe et mere effektivt og brugervenligt arbejdsrum uanset tid, sted og enhed. En løsning der på en gang er både enkel og som sætter brugeren i centrum.