セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 2743314

カプセル化されていない MS-CHAP v2 認証で情報漏えいが許可される可能性がある

公開日: 2012 年 8 月 20 日

バージョン: 1.0

一般情報

概要

Microsoft は、Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAP v2) の既知の弱点について、詳細な悪用コードが公開されていることを認識しています。 MS-CHAP v2 プロトコルは、ポイントツーポイント トンネリング プロトコル (PPTP) ベースの VPN の認証方法として広く使用されています。 Microsoft は現在、この悪用コードを使用するアクティブな攻撃や、現時点ではお客様への影響を認識していません。 Microsoft は、お客様に情報を提供し、必要に応じて顧客ガイダンスを提供するために、この状況を積極的に監視しています。

軽減要因:

  • 唯一の認証方法として MS-CHAP v2 と組み合わせて PPTP に依存する VPN ソリューションのみが、この問題に対して脆弱です。

推薦。 詳細については、このアドバイザリの 「推奨されるアクション 」セクションを参照してください。

アドバイザリの詳細

問題の参考資料

この問題の詳細については、次のリファレンスを参照してください。

リファレンス 識別
Microsoft サポート技術情報の記事 2744850

よく寄せられる質問

アドバイザリの範囲は何ですか?
このアドバイザリの目的は、MS-CHAP v2 プロトコルの既知の弱点に関する詳細なエクスプロイト コードが公開されたことをお客様に通知することです。 Microsoft は現在、この悪用コードを使用するアクティブな攻撃や、現時点ではお客様への影響を認識していません。 Microsoft は、お客様に情報を提供し、必要に応じて顧客ガイダンスを提供するために、この状況を積極的に監視しています。

問題の原因は何ですか?
この問題は、MS-CHAP v2 プロトコルの既知の暗号化の弱点によって発生します。

攻撃者が弱点を使用して何を行う可能性がありますか?
攻撃者がこれらの暗号の弱点を悪用した場合、ユーザーの資格情報を取得する可能性があります。 その後、これらの資格情報を再利用して、ネットワーク リソースに対して攻撃者を認証し、攻撃者はそのネットワーク リソースに対してユーザーが実行できるあらゆるアクションを実行する可能性があります

攻撃者はどのようにして弱点を悪用する可能性がありますか?
攻撃者は、この脆弱性を悪用したり、中間者攻撃を実行したり、開いているワイヤレス トラフィックを傍受したりすることによって、被害者の MS-CHAP v2 ハンドシェイクを傍受できる必要があります。 MS-CHAP v2 認証トラフィックを取得した攻撃者は、悪用コードを使用してユーザーの資格情報を復号化する可能性があります。

これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ではありません。 この問題は、MS-CHAP v2 プロトコルの既知の暗号化の弱点が原因であり、構成の変更を実装することで対処されます。 PEAP を使用して MS-CHAP v2/PPTP ベースのトンネルをセキュリティで保護する方法については、 Microsoft サポート技術情報の記事 2744850を参照してください。

MS-CHAP v2 とは
MS-CHAP v2 は、チャレンジ ハンドシェイクの相互認証プロトコルです。 ユーザーがサービスに対して認証を行うと、リモート アクセス サーバーはクライアントにチャレンジを送信して証明を求めます。 次に、クライアントはチャレンジをサーバーに送信して証明を求めます。 サーバーがクライアントのチャレンジに正しく応答してユーザーのパスワードを認識していることを証明できない場合、クライアントは接続を終了します。 相互認証がないと、リモート アクセス クライアントは偽装サーバーへの接続を検出できませんでした。

MS-CHAP v1 は影響を受けるか?
MS-CHAP v1 は非推奨になりました。 詳細については、 Microsoft サポート技術情報の記事 926170 を参照してください。

中間者攻撃とは
中間者攻撃は、攻撃者が 2 人の通信ユーザーの知識なしに、攻撃者のコンピューターを介して 2 人のユーザー間の通信を再ルーティングするときに発生します。 通信の各ユーザーは、意図したユーザーとのみ通信していると考えながら、知らず知らずに攻撃者との間でトラフィックを送信し、攻撃者からのトラフィックを受信します。

Suggested Actions (推奨されるアクション)

PEAP を使用して MS-CHAP v2/PPTP ベースのトンネルをセキュリティで保護する

PEAP を使用して MS-CHAP v2/PPTP ベースのトンネルをセキュリティで保護する方法については、 Microsoft サポート技術情報の記事 2744850を参照してください。

または、Microsoft VPN に PEAP-MS-CHAP v2 認証を実装する代わりに、より安全な VPN トンネルを使用します

使用される トンネル テクノロジ が柔軟で、パスワードベースの認証方法が必要な場合は、認証に L2TP、IKEv2、または SSTP VPN トンネルを MS-CHAP v2 または EAP-MS-CHAP v2 と組み合わせて使用することをお勧めします。

詳細については、次のリンクを参照してください。

メモ お客様は、環境に対する構成変更の影響を評価することをお勧めします。 Microsoft VPN に PEAP-MS-CHAP v2 認証を実装すると、L2TP、IKEv2、または SSTP VPN トンネルを認証に MS-CHAP v2 または EAP-MS-CHAP v2 と組み合わせて使用するなど、セキュリティで保護された VPN トンネルを実装するよりも、構成の変更が少なくて済み、システムへの影響が小さくなります。

その他の推奨アクション

  • PC を保護する

    引き続き、ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関するコンピューターの保護に関するガイダンスに従うことをお客様にお勧めします。 詳細については、「 Microsoft Safety & Security Center」を参照してください。

  • Microsoft ソフトウェアの更新を維持する

    Microsoft ソフトウェアを実行しているユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、 Microsoft Update にアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっており、Microsoft 製品の更新プログラムを提供するように構成されている場合、更新プログラムはリリース時に配信されますが、インストールされていることを確認する必要があります。

その他の情報

フィードバック

サポート

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性を通知された場合でも、直接的、間接的、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害についても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。

リビジョン

  • V1.0 (2012 年 8 月 20 日): アドバイザリが公開されました。

2014-04-18T13:49:36Z-07:00 にビルド