Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2743314

L'autenticazione MS-CHAP v2 non incapsulata potrebbe consentire la divulgazione di informazioni

Data di pubblicazione: lunedì 20 agosto 2012

Versione: 1.0

Informazioni generali

Riepilogo

Microsoft è a conoscenza della pubblicazione dettagliata del codice dannoso per vulnerabilità note in MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol versione 2). MS-CHAP v2 viene utilizzato diffusamente come metodo di autenticazione nelle VPN basate sul protocollo PPTP (Point-to-point Tunneling Protocol). Attualmente non sono pervenute informazioni su attacchi effettuati tramite questo codice né segnalazioni relative a un eventuale impatto sui clienti. Tuttavia, Microsoft sta monitorando attivamente la situazione per tenere informati i clienti e fornire loro le indicazioni necessarie.

Fattori attenuanti:

  • Solo le soluzioni VPN che si basano sul protocollo PPTP, in combinazione con MS-CHAP v2 come unico metodo di autenticazione, sono vulnerabili a questo problema.

Raccomandazione. Per ulteriori informazioni, consultare la sezione Interventi consigliati di questo advisory.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Articolo della Microsoft Knowledge Base 2744850

Qual è lo scopo di questo advisory?
Lo scopo di questo advisory è quello di informare i clienti della pubblicazione dettagliata del codice dannoso per vulnerabilità note nel protocollo MS-CHAP v2. Attualmente non sono pervenute informazioni su attacchi effettuati tramite questo codice né segnalazioni relative a un eventuale impatto sui clienti. Tuttavia, Microsoft sta monitorando attivamente la situazione per tenere informati i clienti e fornire loro le indicazioni necessarie.

Cosa ha causato il problema?
Il problema è causato da vulnerabilità note nella crittografia del protocollo MS-CHAP v2.

In quale modo un utente malintenzionato può sfruttare queste vulnerabilità ?
Un utente malintenzionato in grado di sfruttare le vulnerabilità nella crittografia potrebbe ottenere credenziali utente. Tali credenziali potrebbero essere riutilizzate per autenticare l'accesso alle risorse di rete e l'utente malintenzionato potrebbe intraprendere qualsiasi azione in quelle risorse

In quale modo un utente malintenzionato può sfruttare queste vulnerabilità ?
Un utente malintenzionato deve poter intercettare l'handshake MS-CHAP v2 della vittima per sfruttare questa vulnerabilità, effettuando attacchi di tipo "man-in-the-middle" o intercettando il traffico wireless aperto. Se l'utente malintenzionato ottiene il traffico di autenticazione di MS-CHAP v2, potrebbe utilizzare il codice per decrittografare le credenziali di un utente.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?
No, non si tratta di una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft. Questo problema è dovuto a vulnerabilità nella crittografia del protocollo MS-CHAP v2 e viene risolto apportando modifiche nella configurazione. Per le informazioni su come proteggere la connessione tunneling basata su MS-CHAP v2/PPTP con PEAP, vedere l'articolo della Microsoft Knowledge Base 2744850.

Che è MS- CHAP v2 ?
MS-CHAP v2 è un protocollo di autenticazione reciproca basato su handshake. Quando un utente si autentica a un servizio, il server di accesso remoto chiede conferma al client inviandogli un messaggio di verifica (challenge). Il client, quindi, chiede conferma inviando un messaggio di verifica al server. Se il server non può dimostrare di essere a conoscenza della password dell'utente rispondendo correttamente al messaggio di verifica del client, questi interrompe la connessione. Senza l'autenticazione reciproca, un client di accesso remoto non potrebbe rilevare la connessione a un server fittizio.

MS-CHAP v1 è interessato dal problema?
MS-CHAP v1 è ormai obsoleto. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 926170.

Che cos'è un attacco di tipo "man-in-the-middle"?
Un attacco di tipo "man-in-the-middle" si verifica quando un utente malintenzionato riavvia la comunicazione tra due utenti utilizzando il proprio computer all'insaputa degli utenti che stanno comunicando. Ogni utente coinvolto nella comunicazione invia e riceve traffico dall'utente malintenzionato in modo inconsapevole, poiché crede di comunicare solamente con l'utente desiderato.

Proteggere la connessione tunneling basata su MS-CHAP v2/PPTP con PEAP

Per le informazioni su come proteggere la connessione tunneling basata su MS-CHAP v2/PPTP con PEAP, vedere l'articolo della Microsoft Knowledge Base 2744850.

In alternativa a l l'implementazione dell'autenticazione PEAP-MS-CHAP v2 per le VPN Microsoft , u tilizzare una connessione tunneling VPN più sicura

Se la tecnologia di connessione tunneling utilizzata è flessibile ed è necessario anche un metodo di autenticazione basato su password, Microsoft consiglia l'utilizzo delle connessioni tunneling VPN L2TP, IKEv2 o SSTP in combinazione con MS-CHAP v2 o EAP-MS-CHAP v2 per l'autenticazione.

Per ulteriori informazioni, vedere i collegamenti seguenti:

Nota: Microsoft consiglia di valutare l'impatto delle modifiche alla configurazione sull'ambiente in uso. L'implementazione dell'autenticazione PEAP-MS-CHAP v2 per VPN Microsoft potrebbe richiedere meno modifiche alla configurazione e avere un impatto minore sui sistemi rispetto all'implementazione di una connessione tunneling VPN più protetta, ad esempio l'uso di connessioni L2TP, IKEv2 o SSTP in combinazione con MS-CHAP v2 o EAP-MS-CHAP per l'autenticazione.

Ulteriori interventi consigliati

  • Proteggere il proprio PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni, vedere Microsoft Safety & Security Center.

  • Tenere il software Microsoft aggiornato

    Si consiglia a tutti gli utenti dei software Microsoft di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Microsoft Update, per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se l'aggiornamento automatico è attivato e configurato per fornire aggiornamenti dei prodotti Microsoft, gli aggiornamenti vengono forniti quando sono rilasciati, ma è necessario verificare che sono installati.

Altre informazioni

Commenti e suggerimenti

Supporto

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (20 agosto 2012): Pubblicazione dell'advisory.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft