Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2876146

PEAP-MS-CHAP v2-Authentifizierung kann Offenlegung von Information ermöglichen

Veröffentlicht: Sonntag, 4. August 2013

Version: 1.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft ist sich einer öffentlichen Meldung bewusst, in der eine bekannte Schwäche im WLAN-Authentifizierungsprotokoll beschrieben wird, das als PEAP-MS-CHAPv2 bekannt ist (Protected Extensible Authentication-Protokoll mit Microsoft Challenge-Handshake Authentication-Protokoll Version 2), welches von Windows Phones für WPA2-Drahtlosauthentifizierung verwendet wird. In anfälligen Szenarien kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, die Offenlegung von Informationen auf dem Zielgerät erreichen. Soweit Microsoft bekannt, ist es noch zu keinen aktiven Angriffen gekommen, und wir verfügen zurzeit über keine Meldungen über etwaige Auswirkungen auf unsere Kunden. Microsoft beobachtet die Lage jedoch sehr genau, um seine Kunden auf dem Laufenden zu halten und ggf. entsprechende Anleitungen anzubieten.

Um diese Sicherheitsanfälligkeit auszunutzen, kann ein von einem Angreifer kontrolliertes System sich als bekannten WLAN-Zugriffspunkt ausgeben. Dadurch wird bewirkt, dass das Zielgerät automatisch versucht, sich bei dem Zugriffspunkt zu authentifizieren. In der Folge kann der Angreifer die verschlüsselten Anmeldeinformationen für die Domäne des Opfers abfangen. Ein Angreifer kann dann kryptografische Schwächen im PEAP-MS-CHAPv2-Protokoll ausnutzen, um die Anmeldeinformationen für die Domäne des Opfers zu erhalten. Die Anmeldeinformationen können dann wiederverwendet werden, um den Angreifer bei Netzwerkressourcen zu authentifizieren. So kann der Angreifer auf dieser Netzwerkressource jede Aktion durchführen, die auch der Benutzer durchführen kann.

Empfehlung. Wenden Sie die empfohlene Maßnahme an, um zu fordern, dass ein drahtloser Zugriffspunkt anhand eines Zertifikats überprüft wird, bevor ein Authentifizierungsprozess gestartet wird. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen in dieser Empfehlung.

Details der Empfehlung

Betroffene Software

Diese Empfehlung betrifft die folgenden Geräte.

Betroffenes Gerätbetriebssystem
Windows Phone 8
Windows Phone 7.8

Was genau umfasst diese Empfehlung?
Mit dieser Empfehlung sollen Benutzer darüber benachrichtigt werden, dass Microsoft sich einer öffentlichen Meldung bewusst ist, in der eine bekannte Schwäche im WLAN-Authentifizierungsprotokoll beschrieben wird, das als PEAP-MS-CHAPv2 bekannt ist. Diese Sicherheitsanfälligkeit betrifft Windows Phones. Die Sicherheitsanfälligkeit betrifft jene Gerätebetriebssysteme, die im Abschnitt „Betroffene Software“ aufgeführt sind.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nein, dies ist keine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist. Diese Sicherheitsanfälligkeit besteht aufgrund bekannter kryptografischer Schwächen im PEAP-MS-CHAPv2-Protokoll und wird behoben, indem an den drahtlosen Zugriffspunkten und auf Geräten mit Windows Phone 8 Konfigurationsänderungen vorgenommen werden.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
In den meisten Szenarien kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, die Offenlegung der Anmeldeinformationen für die Domäne eines Opfers auf dem Zielgerät erreichen. Ein Angreifer kann die Anmeldeinformationen für die Domäne eines Opfers wiederverwenden, um sich gegenüber Netzwerkressourcen zu authentifizieren, und der Angreifer kann beliebige Aktionen durchführen, die der Benutzer an jener Netzwerkressource durchführen kann.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein von einem Angreifer kontrolliertes System kann sich als bekannten WLAN-Zugriffspunkt ausgeben. Dadurch wird bewirkt, dass das Gerät des Opfers automatisch versucht, sich bei dem Zugriffspunkt zu authentifizieren. In der Folge kann der Angreifer die verschlüsselten Anmeldeinformationen für die Domäne des Opfers abfangen. Ein Angreifer kann dann kryptografische Schwächen im PEAP-MS-CHAPv2-Protokoll ausnutzen, um die Anmeldeinformationen für die Domäne des Opfers zu erhalten.

Was ist PEAP-MS-CHAPv2?
PEAP-MS-CHAPv2 ist ein drahtloses Authentifizierungsprotokoll, mit dem ein Benutzer an einem Zugriffspunkt authentifiziert wird. Dadurch soll sichergestellt werden, dass nur berechtigte Geräte eine Verbindung zu einem Drahtlosnetzwerk herstellen können. PEAP-MS-CHAPv2 wird in der Regel zusammen mit dem drahtlosen Schutzprotokoll WPA2 verwendet.

Was ist WPA2?
Wi-Fi Protected Access II (WPA2), IEEE 802.11i, ist ein Sicherheitsprotokoll, mit dem die Vertraulichkeit der drahtlosen Netzwerkkommunikation sichergestellt werden soll. Es ist der Nachfolger des WPA.

Wenden Sie eine der folgenden vorgeschlagen Aktionen an, um sich gegen die Ausnutzung der Sicherheitsanfälligkeit zu schützen, die in dieser Empfehlung beschrieben wird:

  • Fordern Sie ein Zertifikat zum Überprüfen des drahtlosen Zugriffspunkts an, bevor auf Geräten mit Windows Phone 8 ein Authentifizierungsprozess gestartet wird.

    Ein Gerät mit Windows Phone 8 kann so konfiguriert werden, dass ein Netzwerkzugriffpunkt überprüft wird. Dadurch soll sichergestellt werden, dass es sich beim dem Netzwerk um das Netzwerk Ihres Unternehmens handelt, bevor der Authentifizierungsprozess beginnt. Dies kann durch die Überprüfung eines Zertifikats geschehen, das sich auf dem Server Ihres Unternehmens befindet. Erst nachdem das Zertifikat überprüft wurde, werden Daten bezüglich Benutzername und Kennwort an den Authentifizierungsserver gesendet, damit das Telefon eine Verbindung zum WLAN-Netzwerk herstellen kann.

    Veröffentlichen des Zertifikats:

    Das Stammzertifikat wird von der IT-Abteilung des Unternehmens veröffentlicht und kann zum Überprüfen des drahtlosen Zugriffspunkts verwendet werden. Das Zertifikat sollte einen leicht zu merkenden Namen tragen; z. B. „Contoso Firmen-Stammzertifikat“. Dieses Zertifikat kann bereits über die IT-verwaltete Verwaltung mobiler Geräte bereitgestellt worden sein.

    Das Zertifikat kann mithilfe einer E-Mail-Nachricht veröffentlicht werden. Die E-Mail-Nachricht muss auch Anweisungen von der IT-Abteilung dazu enthalten, wie die WLAN-Zertifikatsüberprüfung aktiviert wird. Die E-Mail-Nachricht kann z. B. die folgenden Schritte enthalten.

    Konfigurieren eines Windows Phone 8, dass ein Zertifikat zum Überprüfen eines drahtlosen Zugriffspunkts erforderlich ist:

    Nach Erhalt des Stammzertifikats von der IT-Abteilung des Unternehmens führt jeder Benutzer von Windows Phone 8 die folgenden Schritte durch:

    Löschen Sie die zuvor konfigurierte WLAN-Verbindung.

    1. Tippen Sie auf „Einstellungen“, „WLAN“, Erweitert.
    2. Tippen Sie auf das ausgewählte WLAN-Netzwerk und halten Sie es, und wählen Sie Löschen aus.

    Erstellen Sie eine neue Verbindung, und aktivieren Sie die Serverzertifikatüberprüfung.

    1. Tippen Sie in den WLAN-Einstellungen auf den WLAN-Netzwerkzugriffspunkt des Unternehmens. Daraufhin wird eine Anmeldeseite geöffnet.
    2. Geben Sie Benutzernamen und Kennwort ein.
    3. Schalten Sie „Serverzertifikat überprüfen“ Ein.
    4. Tippen Sie, um ein Zertifikat auszuwählen.
    5. Wählen Sie in der Liste der wählbaren Zertifikate das Stammzertifikat aus (z. B. „Contoso Firmen-Stammzertifikat“), das von der IT-Abteilung des Unternehmens veröffentlicht wurde, und tippen Sie auf Fertig.

  • Schalten Sie WLAN auf Geräten mit Windows Phone aus.

    Tippen Sie unter „Einstellungen“, „WLAN“ auf „WLAN-Netzwerke“, um diese Auszuschalten.

Weitere Informationen:

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (4. August 2013): Die Empfehlung wurde veröffentlicht.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2015 Microsoft