Sicherheitsempfehlung
Microsoft Security Advisory 2876146
Drahtlose PEAP-MS-CHAPv2-Authentifizierung könnte die Offenlegung von Informationen ermöglichen
Veröffentlicht: 04. August 2013
Version: 1.0
Allgemeine Informationen
Kurzfassung
Microsoft ist sich eines öffentlichen Berichts bewusst, der eine bekannte Schwäche im WLAN-Authentifizierungsprotokoll beschreibt, das als PEAP-MS-CHAPv2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol Version 2) bezeichnet wird, das von Windows Telefon s für die drahtlose WPA2-Authentifizierung verwendet wird. In anfälligen Szenarien könnte ein Angreifer, der dieses Problem erfolgreich ausgenutzt hat, die Offenlegung von Informationen gegen das zielorientierte Gerät erreichen. Microsoft ist derzeit nicht über aktive Angriffe oder Kundeneingriffe informiert. Microsoft überwacht diese Situation aktiv, um Kunden auf dem Laufenden zu halten und kundenberatung bei Bedarf bereitzustellen.
Um dieses Problem auszunutzen, könnte ein vom Angreifer kontrolliertes System als bekannter WLAN-Zugriffspunkt dargestellt werden, wodurch das Zielgerät automatisch versucht, sich mit dem Zugriffspunkt zu authentifizieren, und es dem Angreifer wiederum ermöglicht, die verschlüsselte Aktion des Opfers abzufangen Standard Anmeldeinformationen. Ein Angreifer könnte dann kryptografische Schwachstellen im PEAP-MS-CHAPv2-Protokoll ausnutzen, um die Aufgaben des Opfers zu erhalten Standard Anmeldeinformationen. Diese Anmeldeinformationen können dann erneut verwendet werden, um den Angreifer bei Netzwerkressourcen zu authentifizieren, und der Angreifer kann jede Aktion ergreifen, die der Benutzer für diese Netzwerkressource ergreifen könnte.
Empfehlung Wenden Sie die vorgeschlagene Aktion an, um ein Zertifikat zur Überprüfung eines Drahtloszugriffspunkts vor dem Starten eines Authentifizierungsprozesses anzufordern. Weitere Informationen finden Sie im Abschnitt "Vorgeschlagene Aktionen " dieser Empfehlung.
Beratungsdetails
Betroffene Software
In dieser Empfehlung werden die folgenden Geräte erläutert.
| Betroffenes Gerätebetriebssystem |
|---|
| Windows Phone 8 |
| Windows Phone 7.8 |
Häufig gestellte Fragen zu Beratungen
Was ist der Umfang der Beratung?
Dieser Hinweis dient dazu, Kunden darüber zu informieren, dass Microsoft über einen öffentlichen Bericht informiert ist, der eine bekannte Schwäche im Hinblick auf das WI-Fi-Authentifizierungsprotokoll beschreibt, das als PEAP-MS-CHAPv2 bezeichnet wird. Dieses Problem betrifft Windows Telefon-Geräte. Dieses Problem betrifft die Gerätebetriebssysteme, die im Abschnitt "Betroffene Software" aufgeführt sind.
Ist dies eine Sicherheitslücke, die erfordert, dass Microsoft ein Sicherheitsupdate ausgibt?
Nein, dies ist keine Sicherheitslücke, die erfordert, dass Microsoft ein Sicherheitsupdate ausgibt. Dieses Problem liegt an bekannten kryptografischen Schwachstellen im PEAP-MS-CHAPv2-Protokoll und wird durch die Implementierung von Konfigurationsänderungen auf den Drahtloszugriffspunkten und auf Windows Telefon 8-Geräten behoben.
Was kann ein Angreifer mit dem Problem tun?
In den meisten Szenarien könnte ein Angreifer, der dieses Problem erfolgreich ausgenutzt hat, Informationen zur Offenlegung der Aktionen eines Opfers erhalten Standard Anmeldeinformationen vom Zielgerät. Ein Angreifer könnte die Aktion eines Opfers erneut verwenden Standard Anmeldeinformationen, um den Angreifer bei Netzwerkressourcen zu authentifizieren, und der Angreifer kann jede Aktion ergreifen, die der Benutzer für diese Netzwerkressource ergreifen könnte.
Wie kann ein Angreifer das Problem ausnutzen?
Ein vom Angreifer kontrolliertes System könnte sich als bekannter WLAN-Zugriffspunkt darstellen, wodurch das Gerät des Opfers automatisch versucht, sich mit dem Zugriffspunkt zu authentifizieren, und es dem Angreifer wiederum zu ermöglichen, die verschlüsselte Do des Opfers abzufangen Standard Anmeldeinformationen. Ein Angreifer könnte dann kryptografische Schwachstellen im PEAP-MS-CHAPv2-Protokoll ausnutzen, um die Aufgaben des Opfers zu erhalten Standard Anmeldeinformationen.
Was ist PEAP-MS-CHAPv2?
PEAP-MS-CHAPv2 ist ein drahtloses Authentifizierungsprotokoll, das zum Authentifizieren eines Benutzers an einem Zugriffspunkt verwendet wird, um sicherzustellen, dass nur autorisierte Geräte eine Verbindung mit einem Drahtlosnetzwerk herstellen können. PEAP-MS-CHAPv2 wird häufig mit DEM WPA2-Drahtlosschutzprotokoll verwendet.
Was ist WPA2?
Wi-Fi Protected Access II (WPA2), IEEE 802.11i, ist ein Sicherheitsprotokoll, das verwendet wird, um die Vertraulichkeit der Drahtlosen Netzwerkkommunikation sicherzustellen und ist der Nachfolger von WPA.
Vorgeschlagene Aktionen
Wenden Sie eine der folgenden vorgeschlagenen Aktionen an, um vor der Ausbeutung des in dieser Empfehlung beschriebenen Problems zu schützen:
Anfordern eines Zertifikats zum Überprüfen eines Drahtloszugriffspunkts vor dem Starten eines Authentifizierungsprozesses von Windows Telefon 8-Geräten
Ein Windows Telefon 8-Gerät kann so konfiguriert werden, dass ein Netzwerkzugriffspunkt überprüft wird, um sicherzustellen, dass das Netzwerk das Netzwerk Ihres Unternehmens ist, bevor ein Authentifizierungsprozess gestartet wird. Dazu können Sie ein Zertifikat überprüfen, das sich auf dem Server Ihres Unternehmens befindet. Erst nach der Überprüfung des Zertifikats werden Benutzername und Kennwortinformationen an den Authentifizierungsserver gesendet, sodass das Telefon eine Verbindung mit dem WLAN-Netzwerk herstellen kann.
Ausstellen des Zertifikats:
Die UNTERNEHMENS-IT gibt das Stammzertifikat aus, das zum Überprüfen des Drahtloszugriffspunkts verwendet werden kann. Das Zertifikat sollte einen leicht zu merkenden Namen haben; beispiel: "Contoso Corporate Root Certificate". Dieses Zertifikat konnte bereits über die von der IT verwaltete MDM-Lösung (Mobile Geräteverwaltung Lösung) bereitgestellt werden.
Das Zertifikat kann über eine E-Mail-Nachricht ausgestellt werden. Die E-Mail-Nachricht sollte auch Anweisungen der IT-Abteilung zum Aktivieren der WLAN-Zertifikatüberprüfung enthalten. Beispielsweise könnte die E-Mail-Nachricht die folgenden Schritte enthalten.
Konfigurieren eines Windows Telefon 8 zum Anfordern eines Zertifikats für einen drahtlosen Zugriffspunkt:
Nach Erhalt des Stammzertifikats von der Unternehmens-IT führt jeder Windows Telefon 8-Benutzer die folgenden Schritte aus:
Löschen Sie die zuvor konfigurierte WLAN-Verbindung.
- Tippen Sie in Einstellungen WLAN auf "Erweitert".
- Tippen und halten Sie das ausgewählte WLAN-Netzwerk gedrückt, und wählen Sie "Löschen" aus .
Erstellen Sie eine neue Verbindung, und aktivieren Sie die Serverzertifikatüberprüfung.
- Tippen Sie in den WLAN-Einstellungen auf den Wlan-Zugriffspunkt des Unternehmens, der eine Anmeldeseite öffnet.
- Eingeben von Benutzername und Kennwort
- Umschalten von "Serverzertifikat überprüfen" auf "Ein"
- Tippen, um ein Zertifikat auszuwählen
- Wählen Sie in der Liste der zertifikate, die sie auswählen möchten, das Stammzertifikat aus der Unternehmens-IT (z. B. "Contoso-Unternehmensstammzertifikat") aus, und tippen Sie auf "Fertig".
Deaktivieren des WLAN in Windows Telefon-Geräten
Tippen Sie in Einstellungen auf "WLAN", um "WLAN-Netzwerk" auf "Aus" zu schalten.
Sonstige Informationen
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (4. August 2013): Empfehlung veröffentlicht.
Gebaut am 2014-04-18T13:49:36Z-07:00