Microsoft-Sicherheitsempfehlung (2743314)

Nicht eingekapselte MS-CHAP v2-Authentifizierung kann Offenlegung von Information ermöglichen

Veröffentlicht: Montag, 20. August 2012

Version: 1.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft ist bekannt, dass im Internet ausführlicher Angreifercode bezüglich bekannter Schwachstellen im Challenge Handshake Authentication-Protokoll Version 2 (MS-CHAP v2) veröffentlicht wurde. Das MS-CHAP v2-Protokoll wird großflächig als Authentifizierungsmethode in Point-to-Point Tunneling-Protokoll-(PPTP-)basierten VPNs verwendet. Soweit Microsoft bekannt, ist es noch zu keinen Angriffen unter Ausnutzung dieses Angreifercodes gekommen, und wir verfügen zurzeit über keine Meldungen über etwaige Auswirkungen auf unsere Kunden. Microsoft beobachtet die Lage jedoch sehr genau, um seine Kunden auf dem Laufenden zu halten und ggf. entsprechende Anleitungen anzubieten.

Schadensbegrenzende Faktoren:

Nur VPN-Lösungen, die PPTP in Kombination mit MS-CHAP V2 als einzige Authentifizierungsmethode verwenden, sind für dieses Problem anfällig.

Empfehlung. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen in dieser Empfehlung.

Details der Empfehlung

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

Verweise	Identifizierung
Microsoft Knowledge Base-Artikel	2744850

Häufig gestellte Fragen (FAQs)

Was genau umfasst diese Empfehlung?
Der Zweck dieser Empfehlung besteht darin, Benutzer zu benachrichtigen, dass Angreifercode bezüglich bekannter Schwachstellen des MS-CHAP v2-Protokolls veröffentlicht wurden. Soweit Microsoft bekannt, ist es noch zu keinen Angriffen unter Ausnutzung dieses Angreifercodes gekommen, und wir verfügen zurzeit über keine Meldungen über etwaige Auswirkungen auf unsere Kunden. Microsoft beobachtet die Lage jedoch sehr genau, um seine Kunden auf dem Laufenden zu halten und ggf. entsprechende Anleitungen anzubieten.

Was hat das Problem verursacht?
Das Problem wird von bekannten kryptografischen Schwachstellen im MS-CHAP v2-Protokoll verursacht.

Was kann ein Angreifer über diese Schwachstellen erreichen ?
Ein Angreifer, der diese kryptografischen Schwachstellen erfolgreich ausnutzt, kann möglicherweise Anmeldeinformationen des Benutzers erhalten. Die Anmeldeinformationen können dann wiederverwendet werden, um den Angreifer bei Netzwerkressourcen zu authentifizieren. So kann der Angreifer auf dieser Netzwerkressource jede Aktion durchführen, die auch der Benutzer durchführen kann.

Wie gehen Angreifer vor, um diese Schwachstellen auszunutzen?
Ein Angreifer muss den MS-CHAP v2-Handshake des Benutzers abfangen, um die Sicherheitsanfälligkeit auszunutzen. Dies kann er durch Man-in-the-Middle-Angriffe oder das Abfangen nicht gesicherten drahtlosen Datenverkehrs erreichen. Ein Angreifer, der den MS-CHAP v2-Authentifizierungsdatenverkehr abgefangen hat, kann den Code ausnutzen, um die Anmeldeinformationen des Benutzers zu entschlüsseln.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nein, dies ist keine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist. Dieses Problem wird durch bekannte kryptografische Schwachstellen im MS-CHAP v2-Protokoll verursacht und kann durch das Implementieren von Konfigurationsänderungen behoben werden. Informationen zur Sicherung des MS-CHAP v2/PPTP-basierten Tunnels mit PEAP finden Sie im Microsoft Knowledge Base-Artikel 2744850.

Was ist MS-CHAP v2?
MS-CHAP v2 ist ein gegenseitiges Challenge Handshake Authentication-Protokoll. Wenn ein Benutzer sich bei einem Dienst authentifiziert, wird er vom RAS-Server um einen Nachweis durch Senden einer Herausforderung an den Client aufgefordert. Dann fordert der Client einen Nachweis durch Senden einer Herausforderung an den Server. Wenn der Server nicht nachweisen kann, dass er das Kennwort des Benutzers kennt, indem er die Herausforderung des Clients richtig beantwortet, beendet der Client die Verbindung. Ohne gegenseitige Authentifizierung kann ein Remotezugriffsclient keine Verbindung zu einem nachahmenden Server erkennen.

Ist MS-CHAP v1 betroffen?
MS-CHAP v1 wurde ersetzt. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 926170.

Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern durch den Computer des Angreifers umleitet, ohne dass die beiden kommunizierenden Benutzer davon wissen. Jeder Benutzer in der Kommunikation sendet unbewusst Datenverkehr an den Angreifer und erhält Datenverkehr von diesem, während er die ganze Zeit denkt, nur mit dem beabsichtigten Benutzer zu kommunizieren.

Empfohlene Maßnahmen

Sichern des MS-CHAP v2/PPTP-basierter Tunnels mit PEAP

Informationen zur Sicherung des MS-CHAP v2/PPTP-basierten Tunnels mit PEAP finden Sie im Microsoft Knowledge Base-Artikel 2744850.

Verwenden Sie alternativ zur Implementierung der PEAP-MS-CHAP v2-Authentifizierung für Microsoft VPNs einen sichereren VPN-Tunnel

Wenn die verwendete Tunneltechnologie flexibel und eine kennwortbasierte Authentifizierungsmethode weiterhin erforderlich ist, empfiehlt Microsoft die Verwendung von L2TP-, IKEv2-, oder SSTP VPN-Tunneln in Verbindung mit MS-CHAP v2 oder EAP-MS-CHAP v2 für die Authentifizierung.

Weitere Informationen finden Sie unter folgenden Links:

L2TP - Konfigurieren des L2TP/IPsec-basierten Remotezugriffs
VPN Reconnect (IPSec IKEv2) Konfigurieren des IKEv2-basierten Remotezugriffs
SSTP - Leitfaden zum SSTP-Remotezugriff: Bereitstellung

Hinweis: Microsoft empfiehlt Benutzern, die Auswirkungen der Konfigurationsänderungen ihrer Umgebung beurteilen. Das Implementieren der PEAP-MS-CHAP v2-Authentifizierung für Microsoft VPNs erfordert möglicherweise geringere Konfigurationsänderungen und hat so möglicherweise geringere Auswirkungen auf Systeme als die Implementierung eines sichereren VPN-Tunnels, wie z. B. L2TP-, IKEv2- oder SSTP-VPN-Tunnel in Verbindung mit MS-CHAP v2 oder EAP-MS-CHAP v2 für die Authentifizierung.

Zusätzlich empfohlene Handlungen

Weitere Informationen:

Feedback

Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Technischer Support ist über den Security Support erhältlich. Weitere Informationen finden Sie auf Microsoft-Hilfe und -Support.
Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen finden Sie auf Internationale Unterstützung.
Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

V1.0 (20. August 2012): Die Empfehlung wurde veröffentlicht.