Скомпрометирован MS-CHAPv2

http://techvangelist.net/node/26

Невесело, работы прибавится.

Это значит, что 802.11i (т.к. WPA2 же), а также дефолтные VPN под крупным вопросом. Ну равно как и вопрос об уменьшении (желательно до нуля) доли NTLM’а в доменных сетях в пользу krb5. Ничего, в общем, фантастического, но дефолтные инсталляции станут ощутимо уязвимее — попробуйте найти что-то, где в базовом варианте не используется MS-CHAP’овское семейство.

Пока что надо по крайней мере PEAP поддерживать — мы поддержку PEAP, допустим, уже везде давно сделали, но вот чтобы массово — у большинства PPTP/L2TP с дефолтным комплектом «MS-CHAPv1 + MS-CHAPv2» работают.

Спать пора, завтра разберусь и напишу подробнее.

Реклама
Скомпрометирован MS-CHAPv2

Скомпрометирован MS-CHAPv2: 14 комментариев

  1. prouser2011rus:

    Да весь Шиндошs скомпроментирован с момента кражи кодов у IBM.

  2. Я правильно понимаю, что если перехватить целиком сессию «от и до», то ломается любое шифрование, кроме такого, где preshared key в том или ином виде?

        1. Там не обмен, а совместная генерация ключей, обычно алгоритмами семейства DH. Поэтому даже если подтверждение подлинности будет при помощи одинакового ключа вида «12345», шифроваться данные по факту будут разными ключами, и доступны не будут.

  3. Ну оно всё-таки требует кредитки 🙂 так что скрипт-кидди это не поможет. А вот энтерпрайзу…

      1. А потом заплати 200 баксов за преобразование в течении суток токена в пароль.

          1. Ну так о том и речь, целевые атаки могут стать гораздо более успешными.

Обсуждение закрыто.