Смартфоны под управлением операционной системы Windows Phone подвержены атакам, которые могут вскрывать пользовательские реквизиты, необходимые для входа в закрытые корпоративные сетевые ресурсы. Об этом предупредили в Microsoft. Согласно данным компании, уязвимость кроется в схеме аутентификации WiFi, известной как PEAP-MS-CHAPv2, которая используется Windows Phone-смартфонами для работы в WiFi-сетях, защищенных по технологи WPA2. Криптографическая уязвимость в технологии, созданной Microsoft, позволяет атакующим восстанавливать реквизиты для входа в защищенные корпоративные домены и ресурсы, когда клиент-жертва подключается к фальшивой точке доступа.
Отметим, что бюллетень Microsoft опубликовала более чем через год, после того, как независимые специалисты разработали алгоритм атаки, работающей против MS-CHAPv2. независимые специалисты говорят, что новая атака в значительной мере базируется на ранее выявленной уязвимости и исходит из того, что Windows Phone не проверяет цифровые сертификаты подлинности у точек.
В самой Microsoft говорят, что при правильной реализации атаки, атакующий может довольно легко получить доступ к закрытым корпоративным ресурсам. Также в компании говорят, что пока не планируют выпускать патч для данной уязвимости и включат его в общий состав обновления, а корпоративным сетевым администраторам корпорация посоветовала использовать цифровые сертификаты на точках доступа к сети. Также в бюллетене Microsoft содержатся данные о настройке процесса аутентификации, чтобы Windows Phone 8 работала с цифровым сертификатом от WiFi AP. (Microsoft/NovostIT)