• Articolo

Avviso di sicurezza

Microsoft Security Advisory 2743314

L'autenticazione MS-CHAP v2 non incapsulata potrebbe consentire la divulgazione di informazioni

Pubblicato: 20 agosto 2012

Versione: 1.0

Informazioni generali

Schema riepilogativo

Microsoft è consapevole che il codice di exploit dettagliato è stato pubblicato per punti deboli noti in Microsoft Challenge Handshake Authentication Protocol versione 2 (MS-CHAP v2). Il protocollo MS-CHAP v2 è ampiamente usato come metodo di autenticazione nelle VPN basate su PPTP (Point-to-Point Tunneling Protocol). Microsoft non è attualmente a conoscenza degli attacchi attivi che usano questo codice exploit o dell'impatto del cliente in questo momento. Microsoft sta monitorando attivamente questa situazione per mantenere informati i clienti e fornire indicazioni ai clienti in base alle esigenze.

Fattori di mitigazione:

  • Solo le soluzioni VPN che si basano su PPTP in combinazione con MS-CHAP v2 come unico metodo di autenticazione sono vulnerabili a questo problema.

Elemento consigliato. Per altre informazioni, vedere la sezione Azioni suggerite di questo avviso.

Dettagli avviso

Riferimenti ai problemi

Per altre informazioni su questo problema, vedere i riferimenti seguenti:

Riferimenti Identificazione
Articolo della Microsoft Knowledge Base 2744850

Domande frequenti

Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è informare i clienti che il codice di exploit dettagliato è stato pubblicato per punti deboli noti nel protocollo MS-CHAP v2. Microsoft non è attualmente a conoscenza degli attacchi attivi che usano questo codice exploit o dell'impatto del cliente in questo momento. Microsoft sta monitorando attivamente questa situazione per mantenere informati i clienti e fornire indicazioni ai clienti in base alle esigenze.

Cosa ha causato il problema?
Il problema è causato da punti deboli noti della crittografia nel protocollo MS-CHAP v2.

Cosa può fare un utente malintenzionato?
Un utente malintenzionato che ha sfruttato correttamente questi punti deboli crittografici potrebbe ottenere le credenziali utente. Tali credenziali potrebbero quindi essere riutilizzate per autenticare l'utente malintenzionato nelle risorse di rete e l'utente malintenzionato potrebbe intraprendere qualsiasi azione che l'utente potrebbe intraprendere su tale risorsa di rete

In che modo un utente malintenzionato potrebbe sfruttare i punti deboli?
Un utente malintenzionato deve essere in grado di intercettare l'handshake MS-CHAP v2 della vittima per sfruttare questa debolezza, eseguendo attacchi man-in-the-middle o intercettando il traffico wireless aperto. Un utente malintenzionato che ha ottenuto il traffico di autenticazione MS-CHAP v2 potrebbe quindi usare il codice di exploit per decrittografare le credenziali di un utente.

Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza?
No, non si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza. Questo problema è dovuto a punti deboli noti della crittografia nel protocollo MS-CHAP v2 e viene risolto tramite l'implementazione di modifiche alla configurazione. Per informazioni su come proteggere il tunnel basato su MS-CHAP v2/PPTP con PEAP, vedere l'articolo della Microsoft Knowledge Base 2744850.

Che cos'è MS-CHAP v2?
MS-CHAP v2 è un protocollo di autenticazione reciproca challenge-handshake. Quando un utente esegue l'autenticazione a un servizio, il server di accesso remoto richiede la prova inviando una richiesta di verifica al client. Il client chiede quindi la prova inviando una richiesta di verifica al server. Se il server non riesce a dimostrare di conoscere la password dell'utente rispondendo correttamente alla richiesta del client, il client termina la connessione. Senza l'autenticazione reciproca, un client di accesso remoto non è riuscito a rilevare una connessione a un server di rappresentazione.

MS-CHAP v1 è interessato?
MS-CHAP v1 è stato deprecato. Per altre informazioni, vedere l'articolo 926170 della Microsoft Knowledge Base.

Che cos'è un attacco man-in-the-middle?
Un attacco man-in-the-middle si verifica quando un utente malintenzionato reindirizza la comunicazione tra due utenti attraverso il computer dell'utente malintenzionato senza conoscere i due utenti che comunicano. Ogni utente nella comunicazione invia inconsapevolmente il traffico a e riceve il traffico dall'utente malintenzionato, tutto il mentre pensa di comunicare solo con l'utente previsto.

Azioni suggerite

Proteggere il tunnel basato su MS-CHAP v2/PPTP con PEAP

Per informazioni su come proteggere il tunnel basato su MS-CHAP v2/PPTP con PEAP, vedere l'articolo della Microsoft Knowledge Base 2744850.

In alternativa, come alternativa all'implementazione dell'autenticazione PEAP-MS-CHAP v2 per vpn Microsoft, usare un tunnel VPN più sicuro

Se la tecnologia di tunnel usata è flessibile e è ancora necessario un metodo di autenticazione basato su password, Microsoft consiglia di usare tunnel VPN L2TP, IKEv2 o SSTP in combinazione con MS-CHAP v2 o EAP-MS-CHAP v2 per l'autenticazione.

Per altre informazioni, vedi i collegamenti seguenti:

Si noti che Microsoft consiglia ai clienti di valutare l'impatto di apportare modifiche alla configurazione nel proprio ambiente. L'implementazione dell'autenticazione PEAP-MS-CHAP v2 per vpn Microsoft può richiedere meno modifiche alla configurazione e avere un impatto minore rispetto ai sistemi rispetto all'implementazione di un tunnel VPN più sicuro, ad esempio l'uso di tunnel VPN L2TP, IKEv2 o SSTP in combinazione con MS-CHAP v2 o EAP-MS-CHAP v2 per l'autenticazione.

Azioni aggiuntive suggerite

  • Proteggere il PC

    Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni, vedere Microsoft Cassaforte ty & Security Center.

  • Mantenere aggiornato il software Microsoft

    Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.

Altre informazioni

Feedback

Supporto tecnico

  • I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
  • I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni, vedere Supporto internazionale.
  • Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni

  • V1.0 (20 agosto 2012): Avviso pubblicato.

Costruito al 2014-04-18T13:49:36Z-07:00