فاوانیوز : مایکروسافت از وجود احتمال هک شدن یا دزدیده شدن کلمات عبور VPN خبر
داد.مایکروسافت درباره حملات احتمالی man-in-the-middle به کاربران ویندوز
هشدار داد که قادر هستند کلمات عبور برخی شبکههای بیسیم و VPNها را سرقت
کنند. البته در هر صورت هیچگونه بهروزرسانی امنیتی برای این مشکل عرضه
نخواهد شد.
این راهنمایی امنیتی، عکسالعمل مایکروسافت در برابر افشایی بود که هفتهها
پیش توسط یک محقق امنیتی به نام Moxie Marlinspike در کنفرانس Defcon
انجام شده بود.بنا بر اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهیی، در
همان زمان Marlinspike ابزاری به نام Chapcrack را منتشر کرد که دادهها را
برای پیدا کردن کلمات عبور رمز شده با MS-CHAP v2 (پروتکل مایکروسافت برای
احراز هویت) مورد تجزیه قرار میدهد و سپس آنها را با استفاده از سرویس
شکستن کلمه عبور CloudCracker، رمزگشایی میکند.
به گزارش ممتازنیوز به نقل از ایسنا ؛ اکنون مایکروسافت در مورد این تهدید اطلاع رسانی کرده است. در راهنمایی
امنیتی این شرکت آمده است که مهاجمی که به طور موفقیت آمیز از این ضعف
رمزنگاری سوء استفاده کرده است، قادر بوده است به اطلاعات کاربر دسترسی
پیدا کند.این اطلاعات میتواند بعدا برای احراز هویت مهاجم در منابع شبکه مورد
استفاده قرار گیرد و در نتیجه مهاجم قادر خواهد بود تمامی اعمالی را که
کاربر در منابع شبکه مجاز به انجام آنهاست، به انجام برساند. MS-CHAP v2
برای احراز هویت کاربران در VPNهای مبتنی بر PPTP (پروتکل تونل زدن نقطه به
نقطه) مورد استفاده قرار میگیرد.
ویندوز دارای یک پیاده سازی پیش ساخته PPTP است. مهاجم برای استفاده از
Chapcrack نخست باید بستههای داده در حال انتقال برروی یک VPN یا Wi-Fi را
جمعآوری کند. سناریوی احتمالی میتواند به این ترتیب باشد: جعل یک
hotspot بیسیم معتبر برای شنود VPN یا سایر ترافیکها و سپس سرقت این
ترافیک.
ولی مایکروسافت برای ترمیم این مساله هیچگونه به روز رسانی امنیتی عرضه
نخواهد کرد. این شرکت در راهنمایی امنیتی خود نوشت که این یک آسیبپذیری
امنیتی نیست تا نیاز به یک به روزرسانی امنیتی داشته باشد. بلکه این مساله
به علت ضعفهای شناخته شده رمزنگاری در پروتکل MS-CHAP v2 ایجاد شده و از
طریق پیاده سازی تغییراتی در پیکربندی، حل می شود.
مایکروسافت توصیه کرده است که مدیران آی تی، پروتکل PEAP (پروتکل احراز
هویت قابل توسعه محافظت شده) را برای امن سازی کلمات عبور در نشستهای VPN
استفاده کنند. این شرکت نحوه پیکربندی سرورها و کلاینتها برای PEAP را در
یک مستند پشتیبانی توضیح داده است.همانطور که Marlinspike اشاره کرده است، امنیت MS-CHAP v2 سالهاست که زیر
سوال قرار دارد، چراکه این پروتکل نسبت به حملات دیکشنری نیز آسیبپذیر
است.
ویندوزهای ۷، XP، ویستا، سرور ۲۰۰۳، سرور ۲۰۰۸، و سرور ۲۰۰۸ R2 از MS-CHAP
v2 پشتیبانی میکنند. ابزارهای شکستن MS-CHAP v2 حداقل به سال ۲۰۰۷ و
انتشار AsLEAP 2.1 باز میگردند. مایکروسافت اعلام کرده است که تا کنون
هیچگونه حملهای با استفاده از Chapcrack مشاهده نشده است.
فاوا نیوز