微软VPN暴中间人攻击漏洞 或致黑客盗取密码

据微软透露,一个新的攻击方法，黑客有可能利用虚拟私人网路(VPN)来窃取密码和其他敏感信息。这就是所谓的“man-in-the-middle”攻击。
 
安全研究人员Moxie Marlinspike在本月的安全报告中首次披露这个VPN攻击威胁。在调查这个问题之后,微软已经承认,确实存在这个威胁。
 
黑客可以控制系统和网络
 
微软在本周他们自己发布的报告中称“攻击者成功利用这个威胁…将可能通过加密的缺陷获取用户凭证”。
 
“这些凭证可以重用攻击者进行身份验证的网络资源,攻击者可以在用户所在的网络内获取所有的网络资源。”

 
换句话说,VPN漏洞可能被黑客利用，从而获取远程控制受害者的系统甚至整个网络。
 
黑客可能恶搞合法的WiFi热点
 
黑客为了利用这个漏洞，可以将MS-CHAP v2  系统用来验证PPTP 的VPN，并将捕获的信息发送到一个虚拟专用网络或无线网络连接。
 
大多数和Windows版本都在使用MS-CHAP v2.包括Windows XP, Windows Vista, Windows 7, and Windows Server 2003 / 2008 / 2008 R2。
 
专家认为,黑客利用这个漏洞，最有可能尝试模仿一个合法的WiFi热点,希望能够吸引用户连接WiFi。

 
微软似乎不会发布修补这个加密漏洞的办法，因为在微软的公告中看到：“这不是一个需要微软发布安全更新的漏洞”。
 
相反,这个软件巨头表示,IT管理员可以使用一种被称为系统保护的可扩展的身份验证协议(PEAP)来保护在VPN会话中的网络密码。
 
公告中还提到：“这个问题在MS-CHAP v2协议中是已知的加密漏洞，并且它可以通过修改配置来处理”

 
微软表示,到目前为止没有收到任何关于黑客利用VPN脆弱性攻击来攻击的报道。