Уязвимость в протоколе Wi-Fi позволяет похищать данные пользователей Windows Phone

Уязвимость в протоколе Wi-Fi позволяет похищать данные пользователей Windows Phone

ИБ-эксперты Microsoft подчеркивают, что опасности подвержены только версии 7.8 и 8.

ИБ-эксперты Microsoft сообщили, что в операционной системе Windows Phone была обнаружена уязвимость, позволяющая злоумышленникам получить доступ к зашифрованным учетным данным пользователя.

В бюллетене, выпущенном компанией под номером 2876146 , речь идет о том, что хакеры могут использовать различные бреши в протоколе аутентификации Wi-Fi, известном как PEAP-MS-CHAPv2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2). Данный протокол используется во время аутентификации беспроводной связи WPA2.

Когда мобильное устройство пытается выполнить автоматическую проверку подлинности точки доступа, злоумышленники могут перехватить зашифрованные данные домена жертвы, затем расшифровать и использовать для выполнения команд.

«Чтобы эксплуатировать данную уязвимость, управляемая злоумышленником система может выдавать себя за точку доступа Wi-Fi. После этого злоумышленник может использовать криптографические уязвимости в протоколе PEAP-MS-CHAPv2 чтобы похищать учетные данные домена жертвы. Эти учетные данные затем можно использовать для аутентификации злоумышленника в сетевых ресурсах и выполнять любые доступные пользователю действия», - сообщает Microsoft.

Пока неизвестно, эксплуатировалась ли эта уязвимость для похищения корпоративных данных.

Вместо выпуска исправления бреши, компания рекомендует пользователям включить опцию проверки подлинности сертификата перед выполнением протокола PEAP-MS-CHAPv2 при подключении к точке доступа.

Отметим, что в бюллетене также содержится информация касательно настроек в Windows Phone 7.8 и 8 для исправления неполадок в работе. Более старые версии не подвержены данной уязвимости.

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться