VPN與無線加密密碼遭破解 但微軟認為無需發佈更新

z24374203

微軟昨日警告Windows用戶，某些無線網路和VPN可能遭到中間人(man-in-the-middle)攻擊而竊取密碼。
不過微軟表示，本問題不需要發佈安全更新。

微軟是繼數周前安全研究公司Moxie Malinkspike公佈弱點後發出安全公告。Marlinkspike解釋：
「雖然MS-CHAP v2已經很老舊了，但還是廣泛用於PPTP VPN中，而且大量用於WPA2 Enterprise環境中。」

Malinkspike同時發佈，Chapcrack這工具可以找出以MS-CHAP v2加密的密碼，再以CloudCracker密碼破解
服務來解密。

微軟坦承有這項威脅：「成功入侵加密弱點的攻擊，則可能會取得使用者驗證資料。這些資料可被駭客用於取得
認證，而存取網路資源，然後可以對這些資源恣意妄為。」

要使用Chapcrack，攻擊者首先必須抓到VPN或Wi-Fi傳輸的資料封包，最常見的手法是欺騙合法的Wireless AP，
以找出VPN或其他流量，再將之引出。

但微軟並未釋出修補問題的更新。微軟解釋：「這安全弱點並不需要發佈安全新，因為MS-CHAP v2協定裡已知加
密法的弱點，可以經由變更組態來解決。」

微軟建議IT管理員加入PEAP(Protected Extensible Authentication Protocol)來確保VPN密碼。

MS-CHAP v2容易遭到字典攻擊，而長年遭批不安全。

從Windows XP、Vista、Windows 7到Windows Server 2003、Server 2008及Server 2008 R2都支援MS-CHAP v2。
MS-CHAP v2破解工具最早出現於2007年；但微軟表示，目前還沒看到利用Chapcrack所進行的大規模攻擊。


From http://news.networkmagazine.com. ... y/2012/08/22/42485/