安全性諮詢
Microsoft Security Advisory 2743314
未擷取的 MS-CHAP v2 驗證可能會允許資訊洩漏
發佈時間: 2012 年 8 月 20 日
版本: 1.0
一般資訊
執行摘要
Microsoft 知道已針對 Microsoft 挑戰交握驗證通訊協定第 2 版 (MS-CHAP v2) 中的已知弱點發佈詳細的惡意探索程式代碼。 MS-CHAP v2 通訊協定在點對點通道通訊協定 (PPTP) 型 VPN 中廣泛使用為驗證方法。 Microsoft 目前不知道目前使用此惡意探索程式代碼或客戶影響的作用中攻擊。 Microsoft 正在積極監視這種情況,讓客戶隨時掌握資訊,並視需要提供客戶指引。
緩和因素:
- 只有依賴PPTP搭配MS-CHAP v2的 VPN 解決方案,因為唯一的驗證方法容易受到此問題的影響。
建議。 如需詳細資訊,請參閱 此諮詢的建議動作 一節。
諮詢詳細數據
問題參考
如需此問題的詳細資訊,請參閱下列參考:
| 參考資料 | 識別 |
|---|---|
| Microsoft 知識庫文章 | 2744850 |
常見問題集
諮詢的範圍為何?
此諮詢的目的是通知客戶,已針對 MS-CHAP v2 通訊協定中的已知弱點發佈詳細的惡意探索程式代碼。 Microsoft 目前不知道目前使用此惡意探索程式代碼或客戶影響的作用中攻擊。 Microsoft 正在積極監視這種情況,讓客戶隨時掌握資訊,並視需要提供客戶指引。
造成問題的原因為何?
此問題是由 MS-CHAP v2 通訊協定中的已知密碼編譯弱點所造成。
攻擊者可能會使用弱點來執行哪些動作?
成功利用這些密碼編譯弱點的攻擊者可能會取得用戶認證。 然後,這些認證可以用來向網路資源驗證攻擊者,攻擊者可以採取任何使用者對該網路資源採取的任何動作
攻擊者如何利用弱點?
攻擊者必須能夠攔截受害者的 MS-CHAP v2 交握,以利用此弱點、執行中間人攻擊或攔截開放式無線流量。 取得 MS-CHAP v2 驗證流量的攻擊者接著可以使用惡意探索程式代碼來解密用戶的認證。
這是需要 Microsoft 發出安全性更新的安全性弱點嗎?
否,這不是需要 Microsoft 發出安全性更新的安全性弱點。 此問題是因為 MS-CHAP v2 通訊協定中的已知密碼編譯弱點,並透過實作組態變更來解決。 如需如何使用PEAP保護 MS-CHAP v2/PPTP型通道的詳細資訊,請參閱 Microsoft 知識庫文章2744850。
什麼是 MS-CHAP v2?
MS-CHAP v2 是一種挑戰交握相互驗證通訊協定。 當使用者向服務進行驗證時,遠端訪問伺服器會向用戶端傳送挑戰來要求證明。 然後,用戶端會向伺服器傳送挑戰來要求證明。 如果伺服器無法藉由正確回應用戶端的挑戰來證明其知道使用者的密碼,用戶端就會終止連線。 如果沒有相互驗證,遠端訪問用戶端就無法偵測到與模擬伺服器的連線。
MS-CHAP v1 是否受到影響?
MS-CHAP v1 已被取代。 如需詳細資訊,請參閱 Microsoft 知識庫文章 926170。
什麼是中間人攻擊?
當攻擊者透過攻擊者的計算機重新路由傳送兩位使用者之間的通訊,而不知道這兩個通訊使用者時,就會發生中間人攻擊。 通訊中的每個用戶都會不知情地將流量傳送到攻擊者,並接收來自攻擊者的流量,同時認為它們只會與預定的用戶通訊。
建議的動作
使用PEAP保護您的 MS-CHAP v2/PPTP 型通道
如需如何使用PEAP保護 MS-CHAP v2/PPTP型通道的詳細資訊,請參閱 Microsoft 知識庫文章2744850。
或者,若要為 Microsoft VPN 實作 PEAP-MS-CHAP v2 驗證,請使用更安全的 VPN 通道
如果使用的 通道技術 具有彈性,而且仍然需要密碼型驗證方法,則 Microsoft 建議使用 L2TP、IKEv2 或 SSTP VPN 通道搭配 MS-CHAP v2 或 EAP-MS-CHAP v2 進行驗證。
如需詳細資訊,請前往下面連結:
- L2TP - 設定 L2TP/IPsec 型遠端訪問
- VPNReconnect (IPSEC IKEv2) - 設定以 IKEv2 為基礎的遠端存取
- SSTP SSTP - 遠端訪問逐步指南:部署
注意 Microsoft 建議客戶評估對其環境進行設定變更的影響。 針對 Microsoft VPN 實作 PEAP-MS-CHAP v2 驗證可能需要較少的設定變更,而且對系統的影響比實作更安全的 VPN 通道少,例如使用 L2TP、IKEv2 或 SSTP VPN 通道搭配 MS-CHAP v2 或 EAP-MS-CHAP v2 進行驗證。
其他建議的動作
保護您的電腦
我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引,以啟用防火牆、取得軟體更新及安裝防病毒軟體。 如需詳細資訊,請參閱 Microsoft 保管庫 ty & 資訊安全中心。
讓 Microsoft 軟體更新保持更新
執行 Microsoft 軟體的使用者應套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請造訪 Microsoft Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動更新並設定為提供 Microsoft 產品的更新,則更新會在發行時傳遞給您,但您應該確認它們已安裝。
其他資訊
Feedback
- 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡,以提供意見反應。
支援
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需詳細資訊,請參閱國際支援。
- Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2012 年 8 月 20 日):已發佈諮詢。
建置於 2014-04-18T13:49:36Z-07:00