A BlackHat után lement a DefCon is, melynek egyik legnagyobb hatású előadását Moxie Marlinspike és és David Hulton tartották a PPTP VPN-ekhez és a vállalati szintű WPA2 infrastruktúrák kiépítéséhez előszeretettel használt MS-CHAPv2 protokoll gyengeségeiről. Az MS-CHAPv2 különböző gyengeségei már több mint 10 éve ismertek, de az eddigi eredmények szerint megfelelően erős jelszó választásával a protokoll biztonságosan használható. Marlinspike-ék azonban megmutatták, hogy az autentikációs protokoll osztott titka (a felhasználó jelszavának MD4 hash-e) gyakorlatilag egyetlen ismert nyílt szövegen alapuló DES támadás erőforrásigényével kinyerhető egy lehallgatott kézfogásból, ez pedig már jó ideje nem számít elfogadható védelemnek. A gyenge autentikációs protokollra támadszkodó kulcsszármaztatás (például) miatt sok esetben nem csak a felhasználók megszemélyesítése, de egy passzívan lehallgatott adatfolyam megfejtése is lehetővé válhat.
A támadás megértéséhez először érdemes áttekinteni az MS-CHAPv2 működését:
(via CloudCracker.com)
A lépések áttanulmányozása után kiderül, hogy egy passzív hálózati támadó számára az autentikációhoz szükséges egyetlen ismeretlen paraméter a legitim felhasználó jelszavából generált NTHash. Vegyük észre, hogy hash ismeretében a felhasználó jelszavának ismerete nem szükséges az autentikációhoz!
Az NTHash értékét három részre bontják, a részeket pedig DES titkosítók kulcsaként használják. Az MD4 hash kitalálása egy 2^128 méretű kulcstér bejárását igényelni, ilyen konstrukcióban azonban legfeljebb 3*(2^56) próbára lenne szükség, de a helyzet még ennél is rosszabb: A DES effektív kulcsmérete 7 byte, az NTHash pedig 16 byte hosszú, így a protokollban a harmadik DES-hez az NTHash utolsó két byte-ját és öt NULL-t használnak, vagyis az utolsó kulcs (és a hash utolsó két byte-ja) másodpercek alatt kipörgethető.
A maradék 14 byte kitalálásához kihasználható, hogy a két fennmaradó titkosítást azonos nyílt szövegen kell végezni, így az 56 bites kulcstéren csak egyszer kell a költséges DES művelettel végigszaladni: a ChallengeHash értéket minden lehetséges kulccsal titkosítjuk, majd két gyors összehasonlítással eldöntjük, hogy az eredmény megegyezik-e az elfogott két kriptoszöveg valamelyikével.
A kutatók a támadás demonstrálására kiadták a chapcrack nevű eszközt, melynek segítségével egy hálózati dumpból egyszerűen kinyerhetőek a nyers-erőn alapuló támadáshoz szükséges paraméterek, melyek feltölthetők a CloudCracker szolgáltatásba, az innen visszakapott kulcs segítségével pedig a teljes adatfolyam megfejthető - a művelet így kb. egy napot vesz igénybe.
Összefoglalva: az MS-CHAPv2 ideje lejárt, ne használjátok!
fidesz = házmesterek pártja 2012.08.05. 18:45:30
OK, az MS-CHAPv2 ideje lejárt. De mi van, mit használjunk helyette?
buherator · http://buhera.blog.hu 2012.08.06. 10:32:28
[megmondoember] 2012.08.06. 11:36:35
buherator · http://buhera.blog.hu 2012.08.06. 11:54:47
A nem-nyilvános szolgáltatások esetében vszínű még rosszabb a helyzet ("működik, ne nyúljunk hozzá").
csakezértregisztrált 2012.09.25. 09:12:12