Avis de sécurité
Conseils de sécurité Microsoft 2743314
L’authentification MS-CHAP v2 noncapsulée pourrait autoriser la divulgation d’informations
Publié : 20 août 2012
Version : 1.0
Informations générales
Résumé
Microsoft est conscient que le code d’exploitation détaillé a été publié pour les faiblesses connues dans le protocole Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2). Le protocole MS-CHAP v2 est largement utilisé comme méthode d’authentification dans les VPN basés sur le protocole PPTP (Point-to-Point Tunneling Protocol). Microsoft ne connaît actuellement pas les attaques actives qui utilisent ce code d’exploitation ou l’impact du client pour l’instant. Microsoft surveille activement cette situation pour informer les clients et fournir des conseils au client si nécessaire.
Facteurs d’atténuation :
- Seules les solutions VPN qui s’appuient sur PPTP en combinaison avec MS-CHAP v2, car la seule méthode d’authentification est vulnérable à ce problème.
Recommandation. Pour plus d’informations, consultez la section Actions suggérées de cet avis.
Détails de l’avis
Références de problème
Pour plus d’informations sur ce problème, consultez les références suivantes :
| Références | Identification |
|---|---|
| Article de la Base de connaissances Microsoft | 2744850 |
Forums Aux Questions (FAQ)
Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients que le code d’exploitation détaillé a été publié pour les faiblesses connues dans le protocole MS-CHAP v2. Microsoft ne connaît actuellement pas les attaques actives qui utilisent ce code d’exploitation ou l’impact du client pour l’instant. Microsoft surveille activement cette situation pour informer les clients et fournir des conseils au client si nécessaire.
Qu’est-ce qui a provoqué le problème ?
Le problème est dû à des faiblesses de chiffrement connues dans le protocole MS-CHAP v2.
Qu’est-ce qu’un attaquant peut utiliser les faiblesses à faire ?
Un attaquant qui a réussi à exploiter ces faiblesses de chiffrement peut obtenir des informations d’identification utilisateur. Ces informations d’identification peuvent ensuite être réutilisées pour authentifier l’attaquant auprès des ressources réseau, et l’attaquant peut entreprendre toute action que l’utilisateur peut entreprendre sur cette ressource réseau.
Comment un attaquant pourrait-il exploiter les faiblesses ?
Un attaquant doit pouvoir intercepter la négociation MS-CHAP v2 de la victime afin d’exploiter cette faiblesse, en effectuant des attaques man-in-the-middle ou en interceptant le trafic sans fil ouvert. Un attaquant qui a obtenu le trafic d’authentification MS-CHAP v2 peut ensuite utiliser le code d’exploitation pour déchiffrer les informations d’identification d’un utilisateur.
S’agit-il d’une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité ?
Non, il ne s’agit pas d’une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité. Ce problème est dû à des faiblesses de chiffrement connues dans le protocole MS-CHAP v2 et est résolu par l’implémentation des modifications de configuration. Pour plus d’informations sur la sécurisation de votre tunnel basé sur MS-CHAP v2/PPTP avec PEAP, consultez l’article de la Base de connaissances Microsoft 2744850.
Qu’est-ce que MS-CHAP v2 ?
MS-CHAP v2 est un protocole d’authentification mutuelle challenge-handshake. Lorsqu’un utilisateur s’authentifie auprès d’un service, le serveur d’accès à distance demande une preuve en envoyant un défi au client. Ensuite, le client demande une preuve en envoyant un défi au serveur. Si le serveur ne peut pas prouver qu’il a connaissance du mot de passe de l’utilisateur en répondant correctement au défi du client, le client termine la connexion. Sans authentification mutuelle, un client d’accès à distance n’a pas pu détecter une connexion à un serveur d’emprunt d’identité.
MS-CHAP v1 est-il affecté ?
MS-CHAP v1 a été déconseillé. Pour plus d’informations, consultez l’article 926170 de la Base de connaissances Microsoft.
Qu’est-ce qu’une attaque man-in-the-middle ?
Une attaque man-in-the-middle se produit lorsqu’un attaquant redirige la communication entre deux utilisateurs via l’ordinateur de l’attaquant sans connaître les deux utilisateurs communiquants. Chaque utilisateur de la communication envoie du trafic vers et reçoit le trafic de l’attaquant, tout en pensant qu’il communique uniquement avec l’utilisateur prévu.
Actions suggérées
Sécuriser votre tunnel MS-CHAP v2/PPTP avec PEAP
Pour plus d’informations sur la sécurisation de votre tunnel basé sur MS-CHAP v2/PPTP avec PEAP, consultez l’article de la Base de connaissances Microsoft 2744850.
Ou, comme alternative à l’implémentation de l’authentification PEAP-MS-CHAP v2 pour les VPN Microsoft, utilisez un tunnel VPN plus sécurisé
Si la technologie de tunnel utilisée est flexible et qu’une méthode d’authentification basée sur mot de passe est toujours requise, Microsoft recommande d’utiliser les tunnels VPN L2TP, IKEv2 ou SSTP conjointement avec MS-CHAP v2 ou EAP-MS-CHAP v2 pour l’authentification.
Pour en savoir plus, consultez les liens suivants :
- L2TP - Configurer l’accès à distance basé sur L2TP/IPsec
- VPNReconnect (IPSEC IKEv2) - Configurer l’accès à distance basé sur IKEv2
- Guide pas à pas de l’accès à distance SSTP SSTP - : déploiement
Notez que Microsoft recommande aux clients d’évaluer l’impact d’apporter des modifications de configuration à leur environnement. L’implémentation de l’authentification PEAP-MS-CHAP v2 pour les VPN Microsoft peut nécessiter moins de modifications de configuration et avoir un impact moindre sur les systèmes que l’implémentation d’un tunnel VPN plus sécurisé, comme l’utilisation de L2TP, IKEv2 ou de tunnels VPN SSTP conjointement avec MS-CHAP v2 ou EAP-MS-CHAP v2 pour l’authentification.
Actions suggérées supplémentaires
Protéger votre PC
Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Pour plus d’informations, consultez Microsoft Coffre ty &Security Center.
Conserver les logiciels Microsoft mis à jour
Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.
Autres informations
Commentaires
- Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.
Support
- Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
- Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (20 août 2012) : Avis publié.
Construit à 2014-04-18T13 :49 :36Z-07 :00