Sicherheitshinweis: VPNs nicht mehr per MS-CHAPv2 absichern

Microsoft hat heute einen neuen Sicherheitshinweis (Security Advisory 2743314) veröffentlicht. Das Advisory folgt auf eine Ankündigung, die der Hacker Moxie Marlinspike im Rahmen der IT-Sicherheitskonferenz Defcon gemacht hatte: Marlinspike stellte einen Cloud-Service vor, der jegliches Anwenderpasswort einer per MS-CHAPv2 gesicherten VPN- oder WLAN-Verbindung in weniger als 24 Stunden knacken kann; die Komplexität des Passworts spielt hierbei keine Rolle. Hat ein Angreifer das Passwort entschlüsselt, kann er auch die zuvor mitgeschnittene, per MS-CHAPv2 gesicherte VPN- oder WLAN-Übertragung in Klartext verwandeln.

Microsoft empfiehlt daher allen Anwendern, mit MS-CHAP v2 gesicherte PPTP-Verbindungen zusätzlich mit PEAP zu schützen. Details hierzu finden sich im Advisory unter Suggested Actions.

Nicht betroffen von der Schwachstelle sind Anwender, die über ein mit 802.1x gesichertes WLAN verbunden sind. In diesem Fall können die mit MS-CHAPv2 verschlüsselten Anmeldeinformationen nicht mitgeschnitten werden. Mehr zum Sichern von WLANs liefert ein TechNet-Beitrag.