Microsoft warnt vor PPTP und MS-CHAP
Als Reaktion auf den Cloud-Dienst, der die PPTP-Authentifizierung für 200 US-Dollar knackt, empfiehlt Microsoft seinen Kunden, auf sicherere VPN-Techniken umzusatteln.
Microsoft warnt vor einem gravierenden Sicherheitsproblem bei der Authentifizierung via MS-CHAP v2, die vor allem bei Microsofts VPN-Technik Point-to-Point Tunneling Protocol (PPTP) zum Einsatz kommt. Vor drei Wochen stellte der Verschlüsselungsexperte Moxie Marlinspike auf der Black-Hat-Konferenz den Webdienst CloudCracker vor, der jeden PPTP-Zugang für 200 US-Dollar innerhalb von 24 Stunden knacken kann.
Das Grundproblem ist seit vielen Jahren bekannt: MS-CHAP v2 setzt auf eine seltsam verschwurbelte Kombination dreier DES-Operationen. Die lässt sich durch Durchprobieren aller 256 möglichen DES-Schlüssel verlässlich knacken – ganz egal wie kompliziert das verwendete Passwort ist. Diese Aufgabe erledigt ein speziell entwickelter Server mit FPGAs in weniger als einem Tag.
Wer einen PPTP-Anmeldevorgang mit einem Netzwerk-Sniffer mitprotokolliert, kann mit dem Open-Source-Tool chapcrack die dazu benötigten Token extrahieren und sich bei CloudCracker für 200 US-Dollar den Schlüssel knacken lassen, mit dem er anschließend den kompletten Netzwerkverkehr entschlüsseln kann. Das gleiche gilt analog auch für Firmen-WLANs, die mit WPA2 und MS-CHAP2 gesichert sind. Deren MS-CHAPv2-Challenge und Response kann man mit FreeRADIUS-WPE abfangen und dann wiederum an chapcrack verfüttern.
Für mehr Sicherheit gibt es im wesentlichen zwei Strategien: Entweder man packt die MS-CHAP-Authentifizierung in einen separat verschlüsslten Tunnel – Microsoft empfiehlt dazu das Protected Extensible Authentication Protocol (PEAP) – oder man wechselt auf eine sichere VPN-Technik. Als Alternativen schlägt Microsoft L2TP/IPSec, IPSec mit IKEv2 oder SSTP vor. Das Open-Source-Protokoll OpenVPN kommt in der Aufzählung nicht vor. (ju)
