Продемонстрированы уязвимости аутентификации MS-CHAPv2

[Security]

Протокол MS-CHAPv2 неоднократно привлекал внимание специалистов компьютерной безопасности своей простотой. Сразу после его появления, были продемонстрированы возможности подбора ключа аутентификации путем прямого перебора. Несмотря на это, протокол MS-CHAPv2 широко используется для защиты VPN-каналов в корпоративных сетях. В ходе конференции Defcon эксперты компьютерной безопасности представили возможности перехвата хэша ключа авторизации, значение которого позже может быть легко раскрыто. При помощи специальной утилиты ChapCrack, специалистам компьютерной безопасности удалось перехватить инициализацию процесса аутентификации ("рукопожатие" - прим. ред), которое содержало DES-ключ. Подобрав значение соответствующие этому хэшу, злоумышленники могут получить доступ ко всему зашифрованному трафику. Таким образом, эксперты еще раз продемонстрировали опасность MS-CHAPv2 и доказали необходимость его замены на более безопасные протоколы.

Опубликовано: 31-07-2012
Подробнее: http://uinc.ru/news/oa673.html