Microsoft waarschuwt na maand voor VPN-lek

Microsoft komt nu met een waarschuwing dat VPN's met zijn oude authenticatieprotocol MS-CHAP v2 makkelijk zijn te kraken. De tools hiervoor zijn sinds juli uit.

De Windows-maker "is zich ervan bewust dat gedetailleerde exploitcode is gepubliceerd voor bekende zwakheden in de Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2)", meldt de leverancier in een net gepubliceerd security-advies. Dat publiceren van de middelen om VPN-verbindingen (virtual private network) met MS-CHAP v2 te kraken is eind juli al gebeurd.

Binnen een dag gekraakt
Toen heeft de bekende encryptiekraker Moxie Marlinspike op hackersconferentie Defcon zijn tool ChapCrack gedemonstreerd en gelijk vrijgegeven. Hiermee zijn beveiligde verbindingen, voor VPN's (met PPTP, Point-to-Point Tunneling Protocol) en ook voor WiFi-netwerken (met WPA2-Enterprise encryptie), te kraken. Het gaat om verbindingen die alleen vertrouwen op MS-CHAP v2. Dat oude Microsoft-protocol heeft al sinds 1999 bekende zwakke plekken, maar is nog altijd veel in gebruik.

Voorheen waren de ontdekte kwetsbaarheden nog van relatief theoretische aard. Veel gebruikers menen dat MS-CHAP v2, dat nog stamt uit het tijdperk van Windows NT 4.0, veilig kan worden gebruikt in combinatie met een sterk wachtwoord. Dat is een illusie, vertelde Marlinspike eind juli aan de pers. Zijn afluistertool weet in combinatie met de gespecialiseerde hardware van CloudCracker.com de encryptie binnen een dag te kraken. De kosten voor die rekenklus bedragen een bescheiden 200 dollar.

Advies: laag toevoegen
Microsoft komt nu, bijna een maand later, met het advies om af te stappen van VPN-verbindingen via PPTP die alleen vertrouwen op MS-CHAP v2. De leverancier raadt gebruikers niet direct aan om die beveiliging van hun netwerken te schrappen, maar juist te versterken met PEAP (Protected Extensible Authentication Protocol). Versie 0 van dat authenticatieprotocol gebruikt intern nog altijd het zwakke Microsoft-protocol. Versie 1 is standaard niet ondersteund door Windows, ook niet door de nieuwste versie 7, en vereist dus extra VPN-clientsoftware.

Toch is het schragen van bestaande, kwetsbare VPN-verbindingen volgens Microsoft de beste aanpak. Dit vereist namelijk minder werk voor it-omgevingen dan het implementeren van een beter beveiligde VPN-tunnel, "zoals het gebruik van L2TP, IKEv2 of SSTP VPN-tunnels in combinatie met MS-CHAP v2 of EAP-MS-CHAP v2 voor authenticatie". Microsoft meldt in zijn security advisory nog dat het op dit moment geen weet heeft van actieve aanvallen die de gepubliceerde exploitcode gebruiken.