Advierte Microsoft sobre ataque “man-in-the-middle” para hackear contraseñas

El pasado lunes 20 de agosto, en su boletín Monday Advisory, Microsoft advirtió a los usuarios de Windows sobre posibles ataques "man-in-the-middle" capaces de robar las contraseñas de redes inalámbricas y redes privadas virtuales, o VPN.

Sin embargo, este anuncio no amerita la emisión de una actualización de seguridad, pues no se trata de una vulnerabilidad de software que pueda remediarse con un parche, sino de una debilidad en el protocolo de encrpción MS-CHAP v2, que debe solucionarse por medio de cambios en la configuración.

Este aviso fue la respuesta de Microsoft a la advertencia del investigador de seguridad Moxie Marlinspike, emitida hace unas semanas durante la conferencia Defcon, sobre la vulnerabilidad de MS-CHAP v2.

En el boletín del lunes, Microsoft reconoce esa amenaza. "Un atacante que explote exitosamente estas debilidades criptográficas podría obtener credenciales de usuario que podrían ser re-utilizadas para autenticar al atacante y concederle acceso a los recursos de red, desde donde podría realizar cualquier acción que le sea permitida al usuario dentro de la red."

MS-CHAP v2 se utiliza para autenticar a los usuarios en redes VPN basadas en PPTP (Point-to-Point Tunneling Protocol). Windows incluye una implementación de PPTP de manera nativa.

Para usar Chapcrack, un atacante debe capturar los paquetes de datos que se transmiten sobre una red VPN o WiFi -lo cual podría ser aplicando la técnica de spoofing en un punto de acceso legítimo a internet, como en un aeropuerto o cafetería.

Aunque Microsoft dijo que no ha detectado ataques que utilicen la herramienta Chapcrack de Marlinspike, recomienda a los administradores de TI que añadan el protocolo PEAP (Protected Extensible Authentication Protocol) para asegurar las contraseñas en las sesiones VPN. En este documento se describe cómo configurar servidores y clientes para implementar PEAP.

Las versiones de Windows que soportan MS-CHAP v2 incluyen: Windows 7, XP, Vista, Server 2003, Server 2008 y Server 2008 R2.

– Computerworld US