zurück zum Artikel

Microsoft warnt vor Passwort-Klau bei Windows Phones

Jürgen Schmidt

Microsoft warnt, dass die Anmeldung in Firmen-WLANs mit Windows Smartphones das verwendete Passwort kompromittieren könnte. Ursache ist einmal mehr Microsofts längst geknacktes Authentifizierungsverfahren MS-CHAPv2.

Mit einem Security-Advisory weist Microsoft darauf hin, dass die Anmeldung in Firmen-WLANs mit Windows Smartphones das verwendete Passwort kompromittieren könnte. Ursache ist einmal mehr Microsofts längst geknacktes Authentifizierungsverfahren MS-CHAPv2. Einen Patch wird es nicht geben; statt dessen erklärt der Konzern, wie man Netze und Phones einrichten muss, um das Risiko zu vermeiden.

Die Anmeldung in Firmen-WLANs erfolgt häufig über PEAP-MS-CHAPv2. Dabei sichert ein SSL-Tunnel die Anmeldung via MS-CHAPv2. Letzteres lässt sich durch Cloud-Dienste einfach und schnell knacken, wie der Selbstversuch Der Todesstoß für PPTP [1] von heise Security eindrucksvoll bestätigte. Deshalb soll eine SSL-Verbindung die kaputte MS-CHAP-Authentifizierung absichern.

Das funktioniert aber nur dann, wenn das Smartphone auch tatsächlich das präsentierte Server-Zertifikat überprüft. Sonst kann sich ein Angreifer mit einem gefälschten Hotspot als Man-in-the-Middle in Stellung bringen und den Anmeldevorgang belauschen. Mit dem via Cloud-Cracking ermittelten Kennwort kann er sich dann selbst als der Anwender im Netz anmelden. Microsoft will allerdings bislang keine derartigen Angriffe beobachtet haben.

Das Problem ist hausgemacht und prinzipbedingt; einen Patch wird es demnach nicht geben. Microsofts Vorschläge zur Risikovermeidung [2] bestehen folglich aus einer Anleitung wie man ein Firmen-CA-Zertifikat auf die betroffenen Smartphones mit Windows Phone 8 und Windows Phone 7.8 bekommt und dort die Überprüfung von Zertifikaten aktiviert. (ju [3])

URL dieses Artikels:
https://www.heise.de/-1930636

Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Der-Todesstoss-fuer-PPTP-1701365.html
[2] http://technet.microsoft.com/en-us/security/advisory/2876146
[3] mailto:ju@ct.de

Copyright © 2013 Heise Medien