A BlackHat után lement a DefCon is, melynek egyik legnagyobb hatású előadását Moxie Marlinspike és és David Hulton tartották a PPTP VPN-ekhez és a vállalati szintű WPA2 infrastruktúrák kiépítéséhez előszeretettel használt MS-CHAPv2 protokoll gyengeségeiről. Az MS-CHAPv2 különböző gyengeségei már több mint 10 éve ismertek, de az eddigi eredmények szerint megfelelően erős jelszó választásával a protokoll biztonságosan használható. Marlinspike-ék azonban megmutatták, hogy az autentikációs protokoll osztott titka (a felhasználó jelszavának MD4 hash-e) gyakorlatilag egyetlen ismert nyílt szövegen alapuló DES támadás erőforrásigényével kinyerhető egy lehallgatott kézfogásból, ez pedig már jó ideje nem számít elfogadható védelemnek. A gyenge autentikációs protokollra támadszkodó kulcsszármaztatás (például) miatt sok esetben nem csak a felhasználók megszemélyesítése, de egy passzívan lehallgatott adatfolyam megfejtése is lehetővé válhat.

A támadás megértéséhez először érdemes áttekinteni az MS-CHAPv2 működését:

(via CloudCracker.com)

A lépések áttanulmányozása után kiderül, hogy egy passzív hálózati támadó számára az autentikációhoz szükséges egyetlen ismeretlen paraméter a legitim felhasználó jelszavából generált NTHash. Vegyük észre, hogy hash ismeretében a felhasználó jelszavának ismerete nem szükséges az autentikációhoz!

Az NTHash értékét három részre bontják, a részeket pedig DES titkosítók kulcsaként használják. Az MD4 hash kitalálása egy 2^128 méretű kulcstér bejárását igényelni, ilyen konstrukcióban azonban legfeljebb 3*(2^56) próbára lenne szükség, de a helyzet még ennél is rosszabb: A DES effektív kulcsmérete 7 byte, az NTHash pedig 16 byte hosszú, így a protokollban a harmadik DES-hez az NTHash utolsó két byte-ját és öt NULL-t használnak, vagyis az utolsó kulcs (és a hash utolsó két byte-ja) másodpercek alatt kipörgethető.

A maradék 14 byte kitalálásához kihasználható, hogy a két fennmaradó titkosítást azonos nyílt szövegen kell végezni, így az 56 bites kulcstéren csak egyszer kell a költséges DES művelettel végigszaladni: a ChallengeHash értéket minden lehetséges kulccsal titkosítjuk, majd két gyors összehasonlítással eldöntjük, hogy az eredmény megegyezik-e az elfogott két kriptoszöveg valamelyikével.

A kutatók a támadás demonstrálására kiadták a chapcrack nevű eszközt, melynek segítségével egy hálózati dumpból egyszerűen kinyerhetőek a nyers-erőn alapuló támadáshoz szükséges paraméterek, melyek feltölthetők a CloudCracker szolgáltatásba, az innen visszakapott kulcs segítségével pedig a teljes adatfolyam megfejthető - a művelet így kb. egy napot vesz igénybe.

Összefoglalva: az MS-CHAPv2 ideje lejárt, ne használjátok!