微软VPN软件缺陷 黑客可藉此攻入内部网 zt

微软VPN软件缺陷 黑客可藉此攻入内部网

--------------------------------------------------------------------------------

chinabyte 　2002-09-27 15:45:13

 

　　一些安全专家说，周四在微软著名的虚拟私人网络应用中发现了一个可疑缺陷，如果得到证实，它可能导致公司内部网对攻击者开放。
　　
　　德国安全公司Phion信息技术公司通过邮件列表和公司网站发布了安全警告，该警告指出，这个缺陷影响点对点通道协议（PPTP），PPTP通常应用在VPN软件中，微软Windows 2000和XP操作系统的服务器版和PC版都捆绑了VPN（虚拟私人网络）软件。
　　
　　eEye数字安全公司首席安全官Marc Maiffret说：公司通常用微软VPN来让员工通过加密通道远程登录到公司网络。由于人们认为VPN的安全没有问题，许多公司让员工直接进入内部网络--这种做法使得网络攻击者可充分利用这个缺陷的价值。
　　
　　他还说，这是一个通过防火墙的多重漏洞，让黑客进入你的网络服务器是一件坏事，但这还不是世界末日，但是如果让黑客进入你的VPN就会有问题了，因为在网络内部，基本上没有安全措施。
　　
　　PPTP是较老的两个网络协议，用户在应用Windows中捆绑的VPN软件时使用PPTP来安全通讯。新的选择是双层通道协议（L2TP）。
　　
　　微软反驳了Phion信息技术公司的说法，Phion公司称，公司在向公众发出安全警告之前曾向微软公司通报了缺陷。Phion公司是在美国太平洋时区周四上午10时发出警告缺陷的邮件列表的。
　　
　　微软公司安全反应中心在进行了6小时的分析之后，公司的安全计划经理Christopher Budd说，这个缺陷不会用来运行对系统的代码。即便如此，也会极大地减少缺陷的严重性。公司只需留意对VPN系统的拒绝服务攻击，而不是网络入侵者。