CyberSecurity.ru опубликовал предупреждение Microsoft о том, что смартфоны, управляемые Windows Phone, содержат уязвимость, позволяющую злоумышленникам вскрывать пользовательскую информацию, необходимую для авторизации в закрытых сетевых корпоративных ресурсах.
Уязвимость находится в секторе аутентификации WiFi, называемой еще PEAP-MSCHAPv2, необходимой Windows Phone-устройствам для выхода в Сеть посредством WiFi-соединения, защищенного с помощью технологи WPA2.
Криптографический баг в технологии Microsoft дает возможность атакующим производить восстановление реквизитов для авторизации в корпоративных ресурсах при подключении жертвы через фальшивую точку доступа.
Интересно, что Microsoft обнародовало это сообщение через год с момента обнаружения независимыми экспертами аналогичной уязвимости и разработки ими же алгоритма проведения атаки сектора MSCHAPv2.
Теперь независимые эксперты утверждают, что алгоритмы новой атаки в немалой степени базируются на обнаруженном ими ранее баге и исходят эти алгоритмы из факта отсутствия у Windows Phone проверки подлинности цифровых сертификатов точек соединения.
Представители Microsoft утверждают, что правильно проведенная атака даст возможность атакующему легко получить доступ к любым закрытым ресурсам. Однако сам софтверный гигант не планирует пока создавать патч для этого бага, а корпоративным администраторам в Microsoft советуют в точках сетевого доступа применять цифровые сертификаты.
