Microsoft предупредила о возможных взломах VPN паролей

image

Теги: VPN, пароль, Microsoft, Defcon

По словам экспертов компании, хакеры могут проводить атаки «человек посередине» не эксплуатируя уязвимостей.

Согласно сообщению экспертов по информационной безопасности из компании Microsoft, пользователям операционных систем Windows стоит опасаться вероятных атак «человек посередине», в ходе которых хакеры могут похитить пароли от некоторых беспроводных сетей, а также виртуальных частных сетей (virtual private network, VPN).

Вместе с тем в компании заявили, что не намерены выпускать какое-либо обновление безопасности, предотвращающее угрозу компрометации.

Отметим, что публикация советов по обеспечению собственной безопасности является реакцией Microsoft на недавнее выступление исследователя Мокси Марлинспайка (Moxie Marlinspike) в ходе конференции Defcon.

Как сообщил Марлинспайк в своем блоге вскоре после выступления, его интерес к MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol версии 2) поясняется «повсеместной распространенностью» устаревшего протокола.

«Он используется, прежде всего, в PPTP VPN, а также часто встречается в WPA2 Enterprise», - отметил эксперт.

Напомним также, что Марлинспайк опубликовал в открытом доступе инструмент Chapcrack, предназначенный для анализа паролей, зашифрованных MS-CHAP v2. По словам исследователя, информации, полученной с помощью данной утилиты, достаточно чтобы расшифровать пароль в течение суток при помощи сервиса CloudCracker.

«Злоумышленник, воспользовавшийся этой криптографической брешью, может похитить учетные данные пользователей», - подтвердили наличие угрозы в Microsoft.

Вместе с тем, софтверный гигант сообщил, что предотвращать данную угрозу с помощью обновлений безопасности компания не станет.

«Это не уязвимость системы безопасности, которая требует от Microsoft выпуска обновлений, - следует из уведомления. - Эта угроза существует из-за криптографической слабости протокола MS-CHAP v2 и устраняется путем изменения конфигурации».

Для обеспечения безопасности паролей VPN сессий Microsoft порекомендовала IT-администраторам дополнительно использовать PEAP (Protected Extensible Authentication Protocol).  


или введите имя

CAPTCHA
хацкер
22-08-2012 12:11:12
Microsoft красавцы - не перестают радовать) хорошо, что это просто старый протокол, а то я уже начал переживать.. думаю вдруг в самом деле серьезная угроза, а тут прочитал и сразу успокоился - все в порядке, просто шифруем устаревшими стандартами, но дырок нет..
0 |
Dimitry
22-08-2012 16:12:10
хацкер, а что не так? Какой протокол использовать задает админ, это он сам и должен решать
0 |
учитель
23-08-2012 07:11:33
ты зачем это пользователю говоришь?
0 |