"Microsoft's PPTP VPN volledig gekraakt"
Bedrijven en organisaties die hun personeel via Microsoft's PPTP VPN verbinding laten maken moeten hier direct mee stoppen. Dat adviseren twee beveiligingsexpert. Dit weekend demonstreerde beveiligingsonderzoeker Moxie Marlinspike twee tools voor het kraken van PPTP (Point-to-Point Tunneling Protocol) en WPA2-Enterprise (Wireless Protected Access) sessies die MS-CHAPv2 voor authenticatie gebruiken.
MS-CHAPv2 is een door Microsoft ontwikkeld authenticatieprotocol dat in Windows NT 4.0 SP4 geïntroduceerd werd. Ondanks de leeftijd is het nog steeds het primaire authenticatiemechanisme voor de meeste PPTP virtual private network (VPN) clients. Het is al sinds 1999 bekend dat MS-CHAPv2 kwetsbaar voor woordenboekaanvallen is.
Overstappen
"Alle gebruikers en providers van PPTP VPN oplossingen moeten direct naar een ander VPN protocol migreren. PPTP-verkeer moet nu als onversleuteld worden beschouwd", laat Marlinspike in deze analyse weten. Ook waarschuwt hij bedrijven die op de authenticatie eigenschappen van MS-CHAPv2 vertrouwen om met hun WPA2 Radius servers verbinding te maken. Ook deze bedrijven moeten op iets anders overstappen.
Gekraakt
Marlinspike krijgt bijval van Robert Graham van Errata Security. "Omdat MSCHAPv2 56-bit DES gebruikt is de originele wachtwoord hash in 23 uur FPGA kraaktijd achterhalen. En zoals iedereen weet is het hebben van de hash bijna net zo goed als het hebben van het originele wachtwoord als het gaat om het hacken van Microsoft producten."
Volgens Graham betekent dit dat Microsoft's PPTP VPN nu volledig gekraakt is. "Iedereen kan de challenge-response onderscheppen, kraken en de hash verkrijgen, en vervolgens die hash gebruiken om zelf in te loggen ook al weten ze het wachtwoord niet."
Publieke VPN providers zoals hidemyass bieden ook PPTP als oplossing voor portable devices.
EDIT: hidemyass maakt blijkbaar een apart paswoord aan voor PPTP verbindingen:
Onzin iOS werkt prima met IPSec
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
