Computerworld News Service: Microsoft advarer brugere af Windows om muligheden for såkaldte man-in-the-middle-angreb, der er i stand til at stjæle adgangskoder til visse trådløse netværk og VPN'er (virtuelle private netværk).
Selskabet har dog ikke i sinde at udgive nogen sikkerhedsopdatering for at løse problemet.
Sikkerhedsmeddelelsen fra i mandags er Microsofts reaktion på en offentliggørelse for nogle uger siden fra sikkerhedseksperten Moxie Marlinspike under sikkerhedskonferencen Defcon.
I et blogindlæg få dage efter hans præsentation ved Defcon forklarer Marlinspike, hvorfor han er så interesseret i MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2). "Selvom det er en aldrende protokol, der kritiseres vidt og bredt, er den stadig i ret udbredt anvendelse," siger Marlinspike. "Navnlig anvendes den i PPTP VPN'er og bruges også ret udbredt i WPA2 Enterprise-miljøer."
Samtidig offentliggjorde Marlinspike værktøjet Chapcrack, der parser data for adgangskoder krypteret med MS-CHAP v2, som det derefter afkoder ved hjælp af servicen CloudCracker, der bruges af for eksempel penetrationstestere til at knække adgangskoder.
Microsoft erkender problemet.
"En angriber, der med succes udnytter disse kryptografiske svagheder, kan få adgang til brugeroplysninger," står der i Microsofts sikkerhedsmeddelelse.
"Disse brugeroplysninger kan derefter blive genbrugt til at give angriberen adgang til netværksressourcer og angriberen kan foretage enhver handling, som den pågældende bruger kan foretage på en given netværksressource."
Indbygget løsning
MS-CHAP v2 bruges til at godkende brugere i PPTP-baserede (Point-to-Point Tunneling Protocol) VPN'er. Windows har en indbygget implementering af PPTP.
For at kunne bruge Chapcrack skal en angriber først opsnappe datapakker, der overføres via VPN eller Wi-Fi.
Det mest sandsynlige scenarie er spoofing af et legitimt trådløst hotspot såsom i en lufthavn for at sniffe sig frem til VPN- eller anden trafik, som derefter kan opsnappes.
Men Microsoft kommer ikke til at udgive en opdatering, der lukker sårbarheden.
"Dette er ikke en sikkerhedssårbarhed, der kræver, at Microsoft udgiver en sikkerhedsopdatering," står der i sikkerhedsmeddelelsen fra i mandags.
Sådan bør du gøre som it-administrator
"Dette problem er på grund af kendte kryptografiske svagheder i MS-CHAP v2-protokollen og løses ved at implementere konfigurationsændringer."
Microsoft anbefaler, at man som it-administrator tilføjer PEAP (Protected Extensible Authentication Protocol) for at sikre adgangskoder til VPN-sessioner.
Et support-dokument fra Microsoft beskriver, hvordan man konfigurerer servere og klienter til PEAP.
Som Marlinspike bemærker, stammer MS-CHAP v2 helt tilbage fra Windows NT SP4 og Windows 98 og er for flere år siden blevet stemplet som usikker, hovedsagelig fordi protokollen er sårbar overfor såkaldte ordbogsangreb, hvor hackere afprøver et stort antal mulige adgangskoder.
Windows 7 understøtter MS-CHAP v2 ligesom Windows XP og Vista samt Windows Server 2003, Server 2008 og Server 2008 R2 gør.
Mindst siden 2007 med udgivelsen af AsLEAP 2.1 har der været værktøj tilgængelige til at knække MS-CHAP v2.
Microsoft påpeger, at selskabet ikke har observeret et eneste angreb, der gør brug af Marlinspikes Chapcrack.
Oversat af Thomas Bøndergaard
