Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2743314

Nicht eingekapselte MS-CHAP v2-Authentifizierung kann Offenlegung von Information ermöglichen

Veröffentlicht: Montag, 20. August 2012

Version: 1.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft ist bekannt, dass im Internet ausführlicher Angreifercode bezüglich bekannter Schwachstellen im Challenge Handshake Authentication-Protokoll Version 2 (MS-CHAP v2) veröffentlicht wurde. Das MS-CHAP v2-Protokoll wird großflächig als Authentifizierungsmethode in Point-to-Point Tunneling-Protokoll-(PPTP-)basierten VPNs verwendet. Soweit Microsoft bekannt, ist es noch zu keinen Angriffen unter Ausnutzung dieses Angreifercodes gekommen, und wir verfügen zurzeit über keine Meldungen über etwaige Auswirkungen auf unsere Kunden. Microsoft beobachtet die Lage jedoch sehr genau, um seine Kunden auf dem Laufenden zu halten und ggf. entsprechende Anleitungen anzubieten.

Schadensbegrenzende Faktoren:

  • Nur VPN-Lösungen, die PPTP in Kombination mit MS-CHAP V2 als einzige Authentifizierungsmethode verwenden, sind für dieses Problem anfällig.

Empfehlung. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen in dieser Empfehlung.

Details der Empfehlung

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

VerweiseIdentifizierung
Microsoft Knowledge Base-Artikel 2744850

Was genau umfasst diese Empfehlung?
Der Zweck dieser Empfehlung besteht darin, Benutzer zu benachrichtigen, dass Angreifercode bezüglich bekannter Schwachstellen des MS-CHAP v2-Protokolls veröffentlicht wurden. Soweit Microsoft bekannt, ist es noch zu keinen Angriffen unter Ausnutzung dieses Angreifercodes gekommen, und wir verfügen zurzeit über keine Meldungen über etwaige Auswirkungen auf unsere Kunden. Microsoft beobachtet die Lage jedoch sehr genau, um seine Kunden auf dem Laufenden zu halten und ggf. entsprechende Anleitungen anzubieten.

Was hat das Problem verursacht?
Das Problem wird von bekannten kryptografischen Schwachstellen im MS-CHAP v2-Protokoll verursacht.

Was kann ein Angreifer über diese Schwachstelle n erreichen ?
Ein Angreifer, der diese kryptografischen Schwachstellen erfolgreich ausnutzt, kann möglicherweise Anmeldeinformationen des Benutzers erhalten. Die Anmeldeinformationen können dann wiederverwendet werden, um den Angreifer bei Netzwerkressourcen zu authentifizieren. So kann der Angreifer auf dieser Netzwerkressource jede Aktion durchführen, die auch der Benutzer durchführen kann.

Wie gehen Angreifer vor, um diese Schwachstellen auszunutzen?
Ein Angreifer muss den MS-CHAP v2-Handshake des Benutzers abfangen, um die Sicherheitsanfälligkeit auszunutzen. Dies kann er durch Man-in-the-Middle-Angriffe oder das Abfangen nicht gesicherten drahtlosen Datenverkehrs erreichen. Ein Angreifer, der den MS-CHAP v2-Authentifizierungsdatenverkehr abgefangen hat, kann den Code ausnutzen, um die Anmeldeinformationen des Benutzers zu entschlüsseln.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nein, dies ist keine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist. Dieses Problem wird durch bekannte kryptografische Schwachstellen im MS-CHAP v2-Protokoll verursacht und kann durch das Implementieren von Konfigurationsänderungen behoben werden. Informationen zur Sicherung des MS-CHAP v2/PPTP-basierten Tunnels mit PEAP finden Sie im Microsoft Knowledge Base-Artikel 2744850.

Was ist MS- CHAP v2 ?
MS-CHAP v2 ist ein gegenseitiges Challenge Handshake Authentication-Protokoll. Wenn ein Benutzer sich bei einem Dienst authentifiziert, wird er vom RAS-Server um einen Nachweis durch Senden einer Herausforderung an den Client aufgefordert. Dann fordert der Client einen Nachweis durch Senden einer Herausforderung an den Server. Wenn der Server nicht nachweisen kann, dass er das Kennwort des Benutzers kennt, indem er die Herausforderung des Clients richtig beantwortet, beendet der Client die Verbindung. Ohne gegenseitige Authentifizierung kann ein Remotezugriffsclient keine Verbindung zu einem nachahmenden Server erkennen.

Ist MS-CHAP v1 betroffen?
MS-CHAP v1 wurde ersetzt. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 926170.

Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern durch den Computer des Angreifers umleitet, ohne dass die beiden kommunizierenden Benutzer davon wissen. Jeder Benutzer in der Kommunikation sendet unbewusst Datenverkehr an den Angreifer und erhält Datenverkehr von diesem, während er die ganze Zeit denkt, nur mit dem beabsichtigten Benutzer zu kommunizieren.

Sichern des MS- CHAP v2 /PPTP-basierter Tunnels mit PEAP

Informationen zur Sicherung des MS-CHAP v2/PPTP-basierten Tunnels mit PEAP finden Sie im Microsoft Knowledge Base-Artikel 2744850.

Verwenden Sie alternativ zur Implementierung der PEAP-MS-CHAP v2-Authentifizierung für Microsoft VPNs e inen sichere r en VPN-Tunnel

Wenn die verwendete Tunneltechnologie flexibel und eine kennwortbasierte Authentifizierungsmethode weiterhin erforderlich ist, empfiehlt Microsoft die Verwendung von L2TP-, IKEv2-, oder SSTP VPN-Tunneln in Verbindung mit MS-CHAP v2 oder EAP-MS-CHAP v2 für die Authentifizierung.

Weitere Informationen finden Sie unter folgenden Links:

Hinweis: Microsoft empfiehlt Benutzern, die Auswirkungen der Konfigurationsänderungen ihrer Umgebung beurteilen. Das Implementieren der PEAP-MS-CHAP v2-Authentifizierung für Microsoft VPNs erfordert möglicherweise geringere Konfigurationsänderungen und hat so möglicherweise geringere Auswirkungen auf Systeme als die Implementierung eines sichereren VPN-Tunnels, wie z. B. L2TP-, IKEv2- oder SSTP-VPN-Tunnel in Verbindung mit MS-CHAP v2 oder EAP-MS-CHAP v2 für die Authentifizierung.

Zusätzlich empfohlene Handlungen

  • Schützen Sie Ihren PC

    Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Weitere Informationen finden Sie im Microsoft-Sicherheitscenter.

  • Halten Sie Microsoft-Software auf dem neuesten Stand

    Benutzer, die Microsoft-Software ausführen, sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft-Update, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie automatisches Aktualisieren aktiviert und darauf konfiguriert haben, Updates für Microsoft-Produkte bereitzustellen, werden Ihnen die Updates geliefert, sobald sie veröffentlicht werden. Sie sollten aber überprüfen, ob sie installiert sind.

Weitere Informationen:

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (20. August 2012): Die Empfehlung wurde veröffentlicht.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft