Consultoria de Segurança
Comunicado de Segurança da Microsoft 2743314
Autenticação MS-CHAP v2 não encapsulada pode permitir a divulgação não autorizada de informações
Publicado em: 20 de agosto de 2012
Versão: 1.0
Informações Gerais
Resumo executivo
A Microsoft está ciente de que o código de exploração detalhado foi publicado para pontos fracos conhecidos no Microsoft Challenge Handshake Authentication Protocol versão 2 (MS-CHAP v2). O protocolo MS-CHAP v2 é amplamente utilizado como um método de autenticação em VPNs baseadas em PPTP (Point-to-Point Tunneling Protocol). No momento, a Microsoft não está ciente de ataques ativos que usam esse código de exploração ou do impacto no cliente. A Microsoft está monitorando ativamente essa situação para manter os clientes informados e fornecer orientação ao cliente conforme necessário.
Fatores atenuantes:
- Somente as soluções VPN que dependem do PPTP em combinação com o MS-CHAP v2 como único método de autenticação são vulneráveis a esse problema.
Recomendação. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 2744850 |
Perguntas frequentes
Qual o escopo da assessoria?
O objetivo deste comunicado é notificar os clientes de que o código de exploração detalhado foi publicado para pontos fracos conhecidos no protocolo MS-CHAP v2. No momento, a Microsoft não está ciente de ataques ativos que usam esse código de exploração ou do impacto no cliente. A Microsoft está monitorando ativamente essa situação para manter os clientes informados e fornecer orientação ao cliente conforme necessário.
O que causou o problema?
O problema é causado por fraquezas criptográficas conhecidas no protocolo MS-CHAP v2.
O que um invasor pode usar os pontos fracos para fazer?
Um invasor que explorar com êxito esses pontos fracos criptográficos poderá obter credenciais de usuário. Essas credenciais poderiam ser reutilizadas para autenticar o invasor em recursos de rede, e o invasor poderia executar qualquer ação que o usuário pudesse executar nesse recurso de rede
Como um invasor poderia explorar os pontos fracos?
Um invasor precisa ser capaz de interceptar o handshake MS-CHAP v2 da vítima para explorar essa fraqueza, realizando ataques man-in-the-middle ou interceptando tráfego sem fio aberto. Um invasor que obteve o tráfego de autenticação MS-CHAP v2 pode usar o código de exploração para descriptografar as credenciais de um usuário.
Esta é uma vulnerabilidade de segurança que exige que a Microsoft emita uma atualização de segurança?
Não, esta não é uma vulnerabilidade de segurança que requer que a Microsoft emita uma atualização de segurança. Esse problema é devido a fraquezas criptográficas conhecidas no protocolo MS-CHAP v2 e é resolvido por meio da implementação de alterações de configuração. Para obter informações sobre como proteger seu túnel baseado em MS-CHAP v2/PPTP com PEAP, consulte o Artigo 2744850 da Base de Dados de Conhecimento Microsoft.
O que é MS-CHAP v2?
O MS-CHAP v2 é um protocolo de autenticação mútua de handshake de desafio. Quando um usuário se autentica em um serviço, o servidor de acesso remoto solicita prova enviando um desafio ao cliente. Em seguida, o cliente pede a prova enviando uma contestação ao servidor. Se o servidor não puder provar que tem conhecimento da senha do usuário respondendo corretamente ao desafio do cliente, o cliente encerrará a conexão. Sem autenticação mútua, um cliente de acesso remoto não pôde detectar uma conexão com um servidor de representação.
O MS-CHAP v1 é afetado?
O MS-CHAP v1 foi preterido. Para obter mais informações, consulte o artigo 926170 (em inglês) da Microsoft Knowledge Base.
O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários através do computador do invasor sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação inadvertidamente envia e recebe tráfego do invasor, enquanto pensa que está se comunicando apenas com o usuário pretendido.
Ações sugeridas
Proteja seu túnel baseado em MS-CHAP v2/PPTP com PEAP
Para obter informações sobre como proteger seu túnel baseado em MS-CHAP v2/PPTP com PEAP, consulte o Artigo 2744850 da Base de Dados de Conhecimento Microsoft.
Ou, como alternativa à implementação da Autenticação PEAP-MS-CHAP v2 para VPNs da Microsoft, use um túnel VPN mais seguro
Se a tecnologia de túnel usada for flexível e um método de autenticação baseado em senha ainda for necessário, a Microsoft recomenda o uso de túneis VPN L2TP, IKEv2 ou SSTP em conjunto com MS-CHAP v2 ou EAP-MS-CHAP v2 para autenticação.
Para obter mais informações, consulte os seguintes links:
- L2TP - : Configurar o acesso remoto baseado em L2TP/IPsec
- VPNReconnect (IPSEC IKEv2) - Configurar o acesso remoto baseado em IKEv2
- Guia Passo a Passo de Acesso Remoto SSTP SSTP - : Implantação
Observação A Microsoft recomenda que os clientes avaliem o impacto de fazer alterações de configuração em seu ambiente. A implementação da autenticação PEAP-MS-CHAP v2 para VPNs da Microsoft pode exigir menos alterações na configuração e ter um impacto menor nos sistemas do que a implementação de um túnel VPN mais seguro, como o uso de túneis VPN L2TP, IKEv2 ou SSTP em conjunto com MS-CHAP v2 ou EAP-MS-CHAP v2 para autenticação.
Ações adicionais sugeridas
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft.
Mantenha o software Microsoft atualizado
Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Outras Informações
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (20 de agosto de 2012): Comunicado publicado.
Construído em 2014-04-18T13:49:36Z-07:00