Chapcrack rompe seguridad de PPTP y WPA2 en menos de un día

Investigadores de seguridad han presentado en el evento hacker Defcon celebrado en Las Vegas. una herramienta capaz de romper la seguridad del protocolo de comunicaciones PPTP (Point to Point Tunneling Protocol), muy utilizado en empresas para despliegue de redes privadas virtuales VPN y también del sistema de protección de redes inalámbricas WPA2-Enterprise

Chapcrack aprovecha la vulnerabilidad del sistema de autenticación primaria MS-CHAPv2 introducida por Microsoft en Windows NT 4.0 y que sigue utilizándose a pesar de demostrarse su vulnerabilidad a ataques por fuerza bruta desde 1999.

ChapCrack puede capturar tráfico de red bajo MS-CHAPv2 en PPTP (también en sistemas de protección de redes inalámbricas WPA2-Enterprise) reduciendo la seguridad a un algoritmo de cifrado Data Encryption Standard (DES). Esta llave puede descifrarse en servicios como CloudCracker.com en menos de un día.

Los investigadores que ha presentado ChapCrack recomiendan a empresas y proveedores VPN evitar el uso de PPTP cambiando a tecnologías como IPsec u OpenVPN. Las empresas con despliegue de redes inalámbricas que utilicen seguridad WPA2 Enterprise con autenticación MS-CHAPv2 también deberían cambiar a una alternativa.