Microsoft предупредила о возможных взломах VPN паролей
🕛 22.08.2012, 14:42
По словам экспертов компании, хакеры могут проводить атаки «человек посередине» не эксплуатируя уязвимостей. Согласно сообщению экспертов по информационной безопасности из компании Microsoft, пользователям операционных систем Windows стоит опасаться вероятных атак «человек посередине», в ходе которых хакеры могут похитить пароли от некоторых беспроводных сетей, а также виртуальных частных сетей (virtual private network, VPN).
Вместе с тем в компании заявили, что не намерены выпускать какое-либо обновление безопасности, предотвращающее угрозу компрометации.
Отметим, что публикация советов по обеспечению собственной безопасности является реакцией Microsoft на недавнее выступление исследователя Мокси Марлинспайка (Moxie Marlinspike) в ходе конференции Defcon.
Как сообщил Марлинспайк в своем блоге вскоре после выступления, его интерес к MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol версии 2) поясняется «повсеместной распространенностью» устаревшего протокола.
«Он используется, прежде всего, в PPTP VPN, а также часто встречается в WPA2 Enterprise», - отметил эксперт.
Напомним также, что Марлинспайк опубликовал в открытом доступе инструмент Chapcrack , предназначенный для анализа паролей, зашифрованных MS-CHAP v2. По словам исследователя, информации, полученной с помощью данной утилиты, достаточно чтобы расшифровать пароль в течение суток при помощи сервиса CloudCracker.
«Злоумышленник, воспользовавшийся этой криптографической брешью, может похитить учетные данные пользователей», - подтвердили наличие угрозы в Microsoft.
Вместе с тем, софтверный гигант сообщил, что предотвращать данную угрозу с помощью обновлений безопасности компания не станет.
«Это не уязвимость системы безопасности, которая требует от Microsoft выпуска обновлений, - следует из уведомления. - Эта угроза существует из-за криптографической слабости протокола MS-CHAP v2 и устраняется путем изменения конфигурации».
Для обеспечения безопасности паролей VPN сессий Microsoft порекомендовала IT-администраторам дополнительно использовать PEAP (Protected Extensible Authentication Protocol).