image

Microsoft waarschuwt voor WiFilek in Windows Phones

maandag 5 augustus 2013, 10:02 door Redactie, 4 reacties

Microsoft waarschuwt eigenaren van een Windows Phones voor een kwetsbaarheid in het WiFi-authenticatieprotocol PEAP-MS-CHAPv2, dat Windows Phones voor WPA2-authenticatie gebruiken. Een aanvaller die misbruik van het lek maakt, zou allerlei informatie kunnen achterhalen. De softwaregigant is niet bekend met actueel misbruik en zegt de situatie in de gaten te houden.

Het probleem is aanwezig in Windows Phone 7.8 en Windows Phone 8. Om het lek te misbruiken zou een aanvaller een systeem moeten neerzetten dat zich als WiFi accesspoint voordoet. Zodra een Windows Phone verbinding maakt, kan een aanvaller de inloggegevens van het versleutelde domein onderscheppen.

Inloggegevens
Via een lek in PEAP-MS-CHAPv2 (Protected Extensible Authentication Protocol met Microsoft Challenge Handshake Authentication Protocol version 2) is het mogelijk om de inloggegevens te stelen en kan de aanvaller zich vervolgens op het netwerk van het slachtoffer aanmelden. Microsoft adviseert om eerst het certificaat te verifieren voordat het authenticatieproces plaatsvindt.

Reacties (4)
05-08-2013, 11:10 door spatieman
wat dachten jullie van een firmware update...
05-08-2013, 12:54 door Mozes.Kriebel
Door spatieman: wat dachten jullie van een firmware update...
MS: "No, this is not a security vulnerability that requires Microsoft to issue a security update. This issue is due to known cryptographic weaknesses in the PEAP-MS-CHAPv2 protocol and is addressed through implementing configuration changes on the wireless access points and on Windows Phone 8 devices."
MS vindt dat als je het protocol goed implementeert, je dit bekende issue omzeilt.
05-08-2013, 13:40 door dmstork
Zover ik het goed heb begrepen, is dit alleen relevant voor WiFi acces points welke authenticatie via RADIUS gebruiken, met andere woorden WPA(2)-Enterprise. Afgezien van bedrijfs WiFi netwerken verwacht ik niet veel (rogue) publieke AP's die hiervan gebruik maken. Misschien bedrijfsspionage, met een AP dicht bij het betreffende bedrijf om zo directory credentials te kunnen bemachtigen. Maar dan nog moet je het certificaat met private key in handen krijgen, willen gebruikers geen warning krijgen.
Voor de particulier met een WP is dit niet echt relevant, die heeft geen directory credentials om ergens in te voeren en die zijn op makkelijkere manieren te targeten.
05-08-2013, 20:04 door Briolet
Is het niet al een jaar of twee bekend dat het MS-CHAPv2 protocol te kraken is door het opzetten van een honeypod wifi? De enige goede methode is dat de orginele wifi zich nog met een certificaat identificeert.

Dus waarom komt microsoft daar nu me, en niet bij de introductie van de windows phone?

Zigo gebruikt voor hun wifi spots ook PEAP-MS-CHAPv2 e daar klagen er ook al mensen dat niet altijd met certificaat geverifieerd wordt. Wel op mac systemen, maar Ziggo raad, om onduidelijke redenen, windows gebruikers om geen certificaat controle te gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.