Sicherheitsempfehlung
Microsoft Security Advisory 2743314
Nicht gekapselte MS-CHAP v2-Authentifizierung könnte die Offenlegung von Informationen ermöglichen
Veröffentlicht: 20. August 2012
Version: 1.0
Allgemeine Informationen
Kurzfassung
Microsoft ist sich bewusst, dass detaillierter Exploit-Code für bekannte Schwachstellen in der Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP v2) veröffentlicht wurde. Das MS-CHAP v2-Protokoll wird häufig als Authentifizierungsmethode in POINT-to-Point Tunneling Protocol (PPTP)-basierten VPNs verwendet. Microsoft ist derzeit nicht über aktive Angriffe informiert, die diesen Exploit-Code oder die Auswirkungen des Kunden verwenden. Microsoft überwacht diese Situation aktiv, um Kunden auf dem Laufenden zu halten und kundenberatung bei Bedarf bereitzustellen.
Mildernde Faktoren:
- Nur VPN-Lösungen, die in Kombination mit MS-CHAP v2 auf PPTP basieren, da die einzige Authentifizierungsmethode für dieses Problem anfällig ist.
Empfehlung Weitere Informationen finden Sie im Abschnitt "Vorgeschlagene Aktionen " dieser Empfehlung.
Beratungsdetails
Problemverweise
Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:
| References | Identifikation |
|---|---|
| Microsoft Knowledge Base-Artikel | 2744850 |
Häufig gestellte Fragen
Was ist der Umfang der Beratung?
Zweck dieser Empfehlung ist es, Kunden darüber zu informieren, dass detaillierter Exploit-Code für bekannte Schwachstellen im MS-CHAP v2-Protokoll veröffentlicht wurde. Microsoft ist derzeit nicht über aktive Angriffe informiert, die diesen Exploit-Code oder die Auswirkungen des Kunden verwenden. Microsoft überwacht diese Situation aktiv, um Kunden auf dem Laufenden zu halten und kundenberatung bei Bedarf bereitzustellen.
Was hat das Problem verursacht?
Das Problem wird durch bekannte kryptografische Schwachstellen im MS-CHAP v2-Protokoll verursacht.
Was kann ein Angreifer tun, um die Schwächen zu tun?
Ein Angreifer, der diese kryptografischen Schwachstellen erfolgreich ausgenutzt hat, könnte Benutzeranmeldeinformationen abrufen. Diese Anmeldeinformationen könnten dann erneut verwendet werden, um den Angreifer bei Netzwerkressourcen zu authentifizieren, und der Angreifer kann jede Aktion ergreifen, die der Benutzer für diese Netzwerkressource ausführen könnte.
Wie könnte ein Angreifer die Schwächen ausnutzen?
Ein Angreifer muss in der Lage sein, den MS-CHAP v2-Handshake des Opfers abzufangen, um diese Schwäche auszunutzen, indem man-in-the-Middle-Angriffe durchführt oder offenen Drahtlosen Datenverkehr abfangen kann. Ein Angreifer, der den MS-CHAP v2-Authentifizierungsdatenverkehr erhalten hat, könnte dann den Exploit-Code verwenden, um die Anmeldeinformationen eines Benutzers zu entschlüsseln.
Ist dies eine Sicherheitslücke, die erfordert, dass Microsoft ein Sicherheitsupdate ausgibt?
Nein, dies ist keine Sicherheitslücke, die erfordert, dass Microsoft ein Sicherheitsupdate ausgibt. Dieses Problem liegt an bekannten kryptografischen Schwachstellen im MS-CHAP v2-Protokoll und wird durch die Implementierung von Konfigurationsänderungen behoben. Informationen zum Sichern Ihres MS-CHAP v2/PPTP-basierten Tunnels mit PEAP finden Sie im Microsoft Knowledge Base-Artikel 2744850.
Was ist MS-CHAP v2?
MS-CHAP v2 ist ein Abfrage-Handshake-Protokoll für die gegenseitige Authentifizierung. Wenn sich ein Benutzer bei einem Dienst authentifiziert, fordert der Remotezugriffsserver einen Nachweis an, indem er eine Abfrage an den Client sendet. Anschließend fordert der Client einen Nachweis an, indem er eine Abfrage an den Server sendet. Wenn der Server nicht nachweisen kann, dass er über das Kennwort des Benutzers verfügt, indem er die Anforderung des Clients richtig beantwortet, beendet der Client die Verbindung. Ohne gegenseitige Authentifizierung konnte ein Remotezugriffsclient keine Verbindung mit einem Identitätswechselserver erkennen.
Ist MS-CHAP v1 betroffen?
MS-CHAP v1 ist veraltet. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 926170.
Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern über den Computer des Angreifers umleiten kann, ohne dass die beiden kommunizierenden Benutzer wissen. Jeder Benutzer in der Kommunikation sendet unwissentlich Datenverkehr an und empfängt Datenverkehr vom Angreifer, während er denkt, dass er nur mit dem beabsichtigten Benutzer kommuniziert.
Vorgeschlagene Aktionen
Sichern Des MS-CHAP v2/PPTP-basierten Tunnels mit PEAP
Informationen zum Sichern Ihres MS-CHAP v2/PPTP-basierten Tunnels mit PEAP finden Sie im Microsoft Knowledge Base-Artikel 2744850.
Alternativ zur Implementierung der PEAP-MS-CHAP v2-Authentifizierung für Microsoft VPNs verwenden Sie einen sichereren VPN-Tunnel.
Wenn die verwendete Tunneltechnologie flexibel ist und noch eine kennwortbasierte Authentifizierungsmethode erforderlich ist, empfiehlt Microsoft die Verwendung von L2TP-, IKEv2- oder SSTP-VPN-Tunneln in Verbindung mit MS-CHAP v2 oder EAP-MS-CHAP v2 für die Authentifizierung.
Weitere Informationen finden Sie unter den folgenden Links:
- L2TP - Configure L2TP/IPsec-based Remote Access
- VPNReconnect (IPSEC IKEv2) – Konfigurieren des IKEv2-basierten Remotezugriffs
- Schritt-für-Schritt-Anleitung für den SSTP-SSTP-Remotezugriff - : Bereitstellung
Microsoft empfiehlt Kunden, die Auswirkungen von Konfigurationsänderungen an ihrer Umgebung zu bewerten. Die Implementierung der PEAP-MS-CHAP v2-Authentifizierung für Microsoft VPNs erfordert möglicherweise weniger Änderungen an der Konfiguration und hat weniger Auswirkungen auf Systeme als die Implementierung eines sichereren VPN-Tunnels, z. B. die Verwendung von L2TP-, IKEv2- oder SSTP-VPN-Tunneln in Verbindung mit MS-CHAP v2 oder EAP-MS-CHAP v2 für die Authentifizierung.
Weitere vorgeschlagene Aktionen
Schützen Ihres PCs
Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen finden Sie unter Microsoft Tresor ty & Security Center.
Aktualisieren der Microsoft-Software
Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, scannen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie die automatische Aktualisierung aktiviert und für die Bereitstellung von Updates für Microsoft-Produkte konfiguriert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie sollten überprüfen, ob sie installiert sind.
Sonstige Informationen
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (20. August 2012): Empfehlung veröffentlicht.
Gebaut am 2014-04-18T13:49:36Z-07:00