ХабаровскСогласно сообщению экспертов по информационной безопасности из компании Microsoft, пользователям операционных систем Windows стоит опасаться вероятных атак «человек посередине», в ходе которых хакеры могут похитить пароли от некоторых беспроводных сетей, а также виртуальных частных сетей (virtual private network, VPN).
Вместе с тем в компании заявили, что не намерены выпускать какое-либо обновление безопасности, предотвращающее угрозу компрометации.
Отметим, что публикация советов по обеспечению собственной безопасности является реакцией Microsoft на недавнее выступление исследователя Мокси Марлинспайка (Moxie Marlinspike) в ходе конференции Defcon.
Как сообщил Марлинспайк в своем блоге вскоре после выступления, его интерес к MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol версии 2) поясняется «повсеместной распространенностью» устаревшего протокола.
«Он используется, прежде всего, в PPTP VPN, а также часто встречается в WPA2 Enterprise», - отметил эксперт.
Напомним также, что Марлинспайк опубликовал в открытом доступе инструмент Chapcrack , предназначенный для анализа паролей, зашифрованных MS-CHAP v2. По словам исследователя, информации, полученной с помощью данной утилиты, достаточно чтобы расшифровать пароль в течение суток при помощи сервиса CloudCracker.
«Злоумышленник, воспользовавшийся этой криптографической брешью, может похитить учетные данные пользователей», - подтвердили наличие угрозы в Microsoft.
Вместе с тем, софтверный гигант сообщил, что предотвращать данную угрозу с помощью обновлений безопасности компания не станет.
«Это не уязвимость системы безопасности, которая требует от Microsoft выпуска обновлений, - следует из уведомления. - Эта угроза существует из-за криптографической слабости протокола MS-CHAP v2 и устраняется путем изменения конфигурации».
Для обеспечения безопасности паролей VPN сессий Microsoft порекомендовала IT-администраторам дополнительно использовать PEAP (Protected Extensible Authentication Protocol).
