فیلم بیشتر »»
کد خبر ۲۲۸۵۸۳
تاریخ انتشار: ۱۳:۴۱ - ۰۱-۰۶-۱۳۹۱
کد ۲۲۸۵۸۳
انتشار: ۱۳:۴۱ - ۰۱-۰۶-۱۳۹۱

هشدار درباره هك كلمات عبور VPNها

عصر ایران
مایكروسافت توصیه كرده است كه مدیران آی تی، پروتكل PEAP (پروتكل احراز هویت قابل توسعه محافظت شده) را برای امن سازی كلمات عبور در نشست‌های VPN استفاده كنند. این شركت نحوه پیكربندی سرورها و كلاینت‌ها برای PEAP را در یك مستند پشتیبانی توضیح داده است.

مايكروسافت از وجود احتمال هك شدن يا دزديده شدن كلمات عبور VPN خبر داد.

به گزارش ايسنا، مایكروسافت درباره حملات احتمالی man-in-the-middle به كاربران ویندوز هشدار داد كه قادر هستند كلمات عبور برخی شبكه‌های بی‌سیم و VPNها را سرقت كنند. البته در هر صورت هیچگونه به‌روزرسانی امنیتی برای این مشكل عرضه نخواهد شد.

این راهنمایی امنیتی، عكس‌العمل مایكروسافت در برابر افشایی بود كه هفته‌ها پیش توسط یك محقق امنیتی به نام Moxie Marlinspike در كنفرانس Defcon انجام شده بود.

بنا بر اعلام مركز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه‌يي، در همان زمان Marlinspike ابزاری به نام Chapcrack را منتشر كرد كه داده‌ها را برای پیدا كردن كلمات عبور رمز شده با MS-CHAP v2 (پروتكل مایكروسافت برای احراز هویت) مورد تجزیه قرار می‌دهد و سپس آن‌ها را با استفاده از سرویس شكستن كلمه عبور CloudCracker، رمزگشایی می‌كند.

اكنون مایكروسافت در مورد این تهدید اطلاع رسانی كرده است. در راهنمایی امنیتی این شركت آمده است كه مهاجمی كه به طور موفقیت آمیز از این ضعف رمزنگاری سوء استفاده كرده است، قادر بوده است به اطلاعات كاربر دسترسی پیدا كند.

این اطلاعات می‌تواند بعدا برای احراز هویت مهاجم در منابع شبكه مورد استفاده قرار گیرد و در نتیجه مهاجم قادر خواهد بود تمامی اعمالی را كه كاربر در منابع شبكه مجاز به انجام آنهاست، به انجام برساند. MS-CHAP v2 برای احراز هویت كاربران در VPNهای مبتنی بر PPTP (پروتكل تونل زدن نقطه به نقطه) مورد استفاده قرار می‌گیرد.

ویندوز دارای یك پیاده سازی پیش ساخته PPTP است. مهاجم برای استفاده از Chapcrack نخست باید بسته‌های داده در حال انتقال برروی یك VPN یا Wi-Fi را جمع‌آوری كند. سناریوی احتمالی می‌تواند به این ترتیب باشد: جعل یك hotspot بی‌سیم معتبر برای شنود VPN یا سایر ترافیك‌ها و سپس سرقت این ترافیك.

ولی مایكروسافت برای ترمیم این مساله هیچگونه به روز رسانی امنیتی عرضه نخواهد كرد. این شركت در راهنمایی امنیتی خود نوشت كه این یك آسیب‌پذیری امنیتی نیست تا نیاز به یك به روزرسانی امنیتی داشته باشد. بلكه این مساله به علت ضعف‌های شناخته شده رمزنگاری در پروتكل MS-CHAP v2 ایجاد شده و از طریق پیاده سازی تغییراتی در پیكربندی، حل می شود.

مایكروسافت توصیه كرده است كه مدیران آی تی، پروتكل PEAP (پروتكل احراز هویت قابل توسعه محافظت شده) را برای امن سازی كلمات عبور در نشست‌های VPN استفاده كنند. این شركت نحوه پیكربندی سرورها و كلاینت‌ها برای PEAP را در یك مستند پشتیبانی توضیح داده است.

همانطور كه Marlinspike اشاره كرده است، امنیت MS-CHAP v2 سال‌هاست كه زیر سوال قرار دارد، چراكه این پروتكل نسبت به حملات دیكشنری نیز آسیب‌پذیر است.

ویندوزهای 7، XP، ویستا، سرور 2003، سرور 2008، و سرور 2008 R2 از MS-CHAP v2 پشتیبانی می‌كنند. ابزارهای شكستن MS-CHAP v2 حداقل به سال 2007 و انتشار AsLEAP 2.1 باز می‌گردند. مایكروسافت اعلام كرده است كه تا كنون هیچگونه حمله‌ای با استفاده از Chapcrack مشاهده نشده است.

پربیننده ترین پست همین یک ساعت اخیر
برچسب ها: هک ، کلمات عبور ، vpn
ارسال به دوستان
هفت دليل برای تغييرات جدی در صدا و سيما تقویم روز چرا آمریکا برج چابهار را زد بیانیه حزب توسعه ملی در پی صدور حکم برائت بیژن زنگنه در پرونده کرسنت بازدید سخنگوی دولت از بیمارستان شهید بقایی اهواز شنیده شدن صدای انفجار در چند استان جنوبی حاجی بابایی: مردم در خیابان ها و بازارها اصلاً احساس نمی‌کنند که در کشور جنگ است دورکاری 70 درصدی کارکنان منطقه ویژه پتروشیمی ماهشهر ادامه جنگ : حملات آمریکا به یزد، فارس، هرمزگان، خوزستان و خرم آباد / تخریب چند پل و تونل / انفجار دو کشتی بر اثر برخورد با مین های سپاه/ انهدام کامل مرکز هوش مصنوعی بحرین/سنتکام: اعلام پایان هفتمین شب حملات علیه ایران/ آغاز موج حملات سپاه به کویت و بحرین قیمت جهانی نفت 88 دلار شد اسامی شهدای حمله آمریکا به پل‌های بندرخمیر حضور ۵۰ درصدی کارکنان ادارات هرمزگان در روز شنبه ۲۷ تیرماه دبیرکل سازمان ملل حملات به زیرساخت‌های غیرنظامی ایران را محکوم کرد محسن رضایی: آمریکا در روزهای آینده باید منتظر امواج بیشتر و بیشتر موشک و پهپاد باشد ایران ۰ - ۳ اسلوونی/ هشتمین باخت تیم ملی والیبال در لیگ ملت‌ها
نظرسنجی
کدام تیم قهرمان جام جهانی فوتبال 2026 می شود؟