Microsoft waarschuwt Windows-gebruikers die via een Virtueel particulier netwerk (VPN) verbinding maken om niet het Microsoft Challenge Handshake Authentication Protocol versie 2 (MS-CHAP v2) te gebruiken. Het MS-CHAP v2 protocol wordt volgens de softwaregigant veel gebruikt als een authenticatiemethode in Point-to-Point Tunneling Protocol (PPTP)-gebaseerde VPNs. Waarom Microsoft nu pas met de security advisory komt laat het niet weten.

Eind juli demonstreerde beveiligingsonderzoeker Moxie Marlinespike al hoe hij via een kwetsbaarheid in het MS-CHAP v2 protocol versleuteld verkeer kon kraken. Via een man-in-the-middle-aanval zou een aanvaller het versleutelde VPN-verkeer kunnen opvangen, omdat vervolgens te ontsleutelen.

Oplossing
Microsoft is nog niet bekend met aanvallen op klanten of gebruik van de exploitcode maar waarschuwt gebruikers dat ze maatregelen moeten nemen. De softwaregigant zal, omdat het een cryptografische kwetsbaarheid in het authenticatieprotocol gaat, namelijk niet met een beveiligingsupdate komen. De enige oplossing is dan ook het aanpassen van de configuratie.

Gebruikers kunnen hun op MS-CHAP v2/PPTP gebaseerde tunnel met het Protected Extensible Authentication Protocol (PEAP) te beveiligen. Daarbij wordt het MS-CHAP v2 authenticatieverkeer in TLS geencapsuleerd. Als een alternatief voor deze oplossing adviseert Microsoft het gebruik van een veiligere VPN-tunnel.