Microsoft Corp ostrzega u�ytkownik�w o mo�liwo�ci ataku typu man-in-the-middle, w kt�rym napastnik ukrywaj�c si� pomi�dzy komunikuj�cymi wykrada has�a do sieci bezprzewodowych oraz VPN.

Wed�ug specjalist�w problem nie le�y bezpo�rednio w �adnym z produkt�w, a w protokole MS-CHAP v2 (Microsoft Handshake Authentication Protocol ver 2). Protok� ten dzisiaj uwa�any jest ju� za przestarza�y jednak nadal mo�na go spotka� w u�yciu. Sam MS-CHAP v2 jest stosowany w protokole siecci prywatnej PPTP (Point-to-Point Tunneling Protocol).

Metod� wykorzystuj�c� luk� w MS-CHAP v2 przedstawiono na Defcon, gdzie Maximilian Marlinspake przedstawi� narz�dzie Chipcrack przetwarzaj�ce zaszyfrowane dane w MS-CHAP v2 i dekoduj�ce je przy pomocy cloud us�ugi CloudCracker.

Po analizie zagro�enia wysz�o, �e dekodowanie to mo�na stosowa� do pods�uchiwania komunikacji, wykradania danych i uwierzytelniania si� do atakowanej sieci w�a�nie metod� man-in-the-middle.

�r�d�o: cybersecurity.ru