Советы по безопасности
Советы по безопасности Майкрософт 2743314
Некапсулированная проверка подлинности MS-CHAP версии 2 может разрешить раскрытие информации
Опубликовано: 20 августа 2012 г.
Версия: 1.0
Общие сведения
Краткий обзор
Корпорация Майкрософт знает, что подробный код эксплойтов опубликован для известных слабых мест в протоколе проверки подлинности Microsoft Challenge Handshake 2 (MS-CHAP версии 2). Протокол MS-CHAP версии 2 широко используется в качестве метода проверки подлинности в протоколах туннелирования на основе точек (PPTP). Корпорация Майкрософт в настоящее время не знает о активных атаках, использующих этот код эксплойтов или влияние клиента на данный момент. Корпорация Майкрософт активно отслеживает эту ситуацию для информирования клиентов и предоставления рекомендаций по работе с клиентами по мере необходимости.
Смягчающие факторы:
- К этой проблеме уязвимы только решения VPN, использующие PPTP в сочетании с MS-CHAP версии 2.
Рекомендация. Дополнительные сведения см. в разделе "Предлагаемые действия ".
Сведения о рекомендациях
Ссылки на проблемы
Дополнительные сведения об этой проблеме см. в следующих ссылках:
| Ссылки | Идентификация |
|---|---|
| Статья базы знаний Майкрософт | 2744850 |
Вопросы и ответы
Что такое область рекомендаций?
Эта рекомендация предназначена для уведомления клиентов о том, что подробный код эксплойтов был опубликован для известных слабых мест в протоколе MS-CHAP версии 2. Корпорация Майкрософт в настоящее время не знает о активных атаках, использующих этот код эксплойтов или влияние клиента на данный момент. Корпорация Майкрософт активно отслеживает эту ситуацию для информирования клиентов и предоставления рекомендаций по работе с клиентами по мере необходимости.
Что вызвало проблему?
Проблема вызвана известными уязвимостями шифрования в протоколе MS-CHAP версии 2.
Что может сделать злоумышленник с помощью слабых мест?
Злоумышленник, который успешно использовал эти слабые места шифрования, может получить учетные данные пользователя. Затем эти учетные данные можно повторно использовать для проверки подлинности злоумышленника в сетевых ресурсах, и злоумышленник может предпринять любые действия, которые пользователь мог предпринять в этом сетевом ресурсе.
Как злоумышленник может воспользоваться слабыми местами?
Злоумышленник должен быть в состоянии перехватить подтверждение MS-CHAP 2 жертвы, чтобы воспользоваться этой слабостью, выполняя атаки в середине или перехватая открытый беспроводной трафик. Злоумышленник, который получил трафик проверки подлинности MS-CHAP версии 2, может использовать код эксплойта для расшифровки учетных данных пользователя.
Это уязвимость безопасности, требующая от Майкрософт выдачи обновления безопасности?
Нет, это не уязвимость безопасности, требующая от Майкрософт выдачи обновления системы безопасности. Эта проблема связана с известными недостатками шифрования в протоколе MS-CHAP версии 2 и устранена путем реализации изменений конфигурации. Сведения о защите туннеля на основе MS-CHAP версии 2/PPTP с помощью PEAP см . в статье базы знаний Майкрософт 2744850.
Что такое MS-CHAP версии 2?
MS-CHAP версии 2 — это протокол взаимной проверки подлинности с вызовом. Когда пользователь проходит проверку подлинности в службе, сервер удаленного доступа запрашивает подтверждение, отправляя клиенту запрос. Затем клиент запрашивает подтверждение, отправив вызов серверу. Если сервер не может доказать, что он знает пароль пользователя, правильно отвечая на запрос клиента, клиент завершает подключение. Без взаимной проверки подлинности клиент удаленного доступа не мог обнаружить подключение к олицетворяющего сервера.
Затронуты ли MS-CHAP версии 1?
MS-CHAP версии 1 устарел. Дополнительные сведения см. в статье базы знаний Майкрософт 926170.
Что такое атака "человек в середине"?
Атака "человек в середине" возникает, когда злоумышленник перенаправляет связь между двумя пользователями с помощью компьютера злоумышленника без знания двух пользователей, взаимодействующих с ними. Каждый пользователь в обмене данными неузнавательно отправляет трафик и получает трафик от злоумышленника, все думая, что они взаимодействуют только с предполагаемым пользователем.
Предлагаемые действия
Защита туннеля на основе MS-CHAP версии 2/PPTP с помощью PEAP
Сведения о защите туннеля на основе MS-CHAP версии 2/PPTP с помощью PEAP см . в статье базы знаний Майкрософт 2744850.
Кроме того, в качестве альтернативы реализации проверки подлинности PEAP-MS-CHAP версии 2 для виртуальных сетей Майкрософт используйте более безопасный VPN-туннель.
Если технология туннеля используется гибко, а метод проверки подлинности на основе паролей по-прежнему необходим, корпорация Майкрософт рекомендует использовать туннели L2TP, IKEv2 или VPN-туннели SSTP в сочетании с MS-CHAP версии 2 или EAP-MS-CHAP версии 2 для проверки подлинности.
Дополнительные сведения см. по следующим ссылкам.
- Настройка удаленного доступа на основе L2TP/IPsec на основе L2TP -
- VPNReconnect (IPSEC IKEv2) — настройка удаленного доступа на основе IKEv2
- Пошаговое руководство по удаленному доступу SSTP SSTP - . Развертывание
Обратите внимание , что корпорация Майкрософт рекомендует клиентам оценить влияние изменения конфигурации в их среде. Реализация проверки подлинности PEAP-MS-CHAP версии 2 для виртуальных сетей Майкрософт может потребовать меньшего изменения конфигурации и снижения влияния на системы, чем реализация более безопасного VPN-туннеля, например использования VPN-туннелей L2TP, IKEv2 или VPN-туннелей SSTP в сочетании с MS-CHAP версии 2 или EAP-MS-CHAP версии 2 для проверки подлинности.
Дополнительные предлагаемые действия
Защита компьютера
Мы продолжаем поощрять клиентов следовать нашим рекомендациям по защите компьютера для включения брандмауэра, получения обновлений программного обеспечения и установки антивирусного программного обеспечения. Дополнительные сведения см. в центре безопасности Майкрософт Сейф ty и безопасности.
Обновление программного обеспечения Майкрософт
Пользователи, работающие под управлением программного обеспечения Майкрософт, должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно скорее. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Центр обновления Майкрософт, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если вы включили автоматическое обновление и настроили для предоставления обновлений для продуктов Майкрософт, обновления доставляются вам при их выпуске, но убедитесь, что они установлены.
Другие сведения
Feedback
- Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.
Поддержка
- Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения см. в справке и поддержке Майкрософт.
- Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения см. в статье "Международная поддержка".
- Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.
Заявление об отказе
Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- Версия 1.0 (20 августа 2012 г.): рекомендации, опубликованные.
Построено в 2014-04-18T13:49:36Z-07:00