Microsoft warnt vor Passwort-Klau bei Windows Phones

Microsoft warnt, dass die Anmeldung in Firmen-WLANs mit Windows Smartphones das verwendete Passwort kompromittieren könnte. Ursache ist einmal mehr Microsofts längst geknacktes Authentifizierungsverfahren MS-CHAPv2.

In Pocket speichern vorlesen Druckansicht 240 Kommentare lesen
Lesezeit: 1 Min.

Mit einem Security-Advisory weist Microsoft darauf hin, dass die Anmeldung in Firmen-WLANs mit Windows Smartphones das verwendete Passwort kompromittieren könnte. Ursache ist einmal mehr Microsofts längst geknacktes Authentifizierungsverfahren MS-CHAPv2. Einen Patch wird es nicht geben; statt dessen erklärt der Konzern, wie man Netze und Phones einrichten muss, um das Risiko zu vermeiden.

Die Anmeldung in Firmen-WLANs erfolgt häufig über PEAP-MS-CHAPv2. Dabei sichert ein SSL-Tunnel die Anmeldung via MS-CHAPv2. Letzteres lässt sich durch Cloud-Dienste einfach und schnell knacken, wie der Selbstversuch Der Todesstoß für PPTP von heise Security eindrucksvoll bestätigte. Deshalb soll eine SSL-Verbindung die kaputte MS-CHAP-Authentifizierung absichern.

Das funktioniert aber nur dann, wenn das Smartphone auch tatsächlich das präsentierte Server-Zertifikat überprüft. Sonst kann sich ein Angreifer mit einem gefälschten Hotspot als Man-in-the-Middle in Stellung bringen und den Anmeldevorgang belauschen. Mit dem via Cloud-Cracking ermittelten Kennwort kann er sich dann selbst als der Anwender im Netz anmelden. Microsoft will allerdings bislang keine derartigen Angriffe beobachtet haben.

Das Problem ist hausgemacht und prinzipbedingt; einen Patch wird es demnach nicht geben. Microsofts Vorschläge zur Risikovermeidung bestehen folglich aus einer Anleitung wie man ein Firmen-CA-Zertifikat auf die betroffenen Smartphones mit Windows Phone 8 und Windows Phone 7.8 bekommt und dort die Überprüfung von Zertifikaten aktiviert. (ju)