微剋多資訊

 找回密碼
 註冊

Login

Login

搜索

該用戶從未簽到

發表於 2012-8-23 11:36 | 顯示全部樓層 |閱讀模式


微軟昨日警告Windows用戶,某些無線網路和VPN可能遭到中間人(man-in-the-middle)攻擊而竊取密碼。
不過微軟表示,本問題不需要發佈安全更新。

微軟是繼數周前安全研究公司Moxie Malinkspike公佈弱點後發出安全公告。Marlinkspike解釋:
「雖然MS-CHAP v2已經很老舊了,但還是廣泛用於PPTP VPN中,而且大量用於WPA2 Enterprise環境中。」

Malinkspike同時發佈,Chapcrack這工具可以找出以MS-CHAP v2加密的密碼,再以CloudCracker密碼破解
服務來解密。

微軟坦承有這項威脅:「成功入侵加密弱點的攻擊,則可能會取得使用者驗證資料。這些資料可被駭客用於取得
認證,而存取網路資源,然後可以對這些資源恣意妄為。」

要使用Chapcrack,攻擊者首先必須抓到VPN或Wi-Fi傳輸的資料封包,最常見的手法是欺騙合法的Wireless AP,
以找出VPN或其他流量,再將之引出。

但微軟並未釋出修補問題的更新。微軟解釋:「這安全弱點並不需要發佈安全新,因為MS-CHAP v2協定裡已知加
密法的弱點,可以經由變更組態來解決。」

微軟建議IT管理員加入PEAP(Protected Extensible Authentication Protocol)來確保VPN密碼。

MS-CHAP v2容易遭到字典攻擊,而長年遭批不安全。

從Windows XP、Vista、Windows 7到Windows Server 2003、Server 2008及Server 2008 R2都支援MS-CHAP v2。
MS-CHAP v2破解工具最早出現於2007年;但微軟表示,目前還沒看到利用Chapcrack所進行的大規模攻擊。


From http://news.networkmagazine.com. ... y/2012/08/22/42485/
您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2016-12-8 10:04

Discuz! X

© 2009-2016 Microduo

快速回覆 返回頂部 返回列表