Microsoft waarschuwt voor een kwetsbaarheid in Windows Phone, die kan leiden tot wachtwoorddiefstal van het bedrijfsdomein als een gebruiker inlogt bij een valse Wifi-hotspot.


Hoe heeft technologie een impact op je business?
Ontvang elke week het zakelijk IT-nieuws rechtstreeks in je inbox!



De kwetsbaarheid zit in het authenticatieprotocol PEAP-MS-CHAPv2, die Windows Phone 7.8 en 8 gebruiken om in te loggen bij Wifi-netwerken beveiligd met de tweede versie van het Wi-Fi Protected Access-protocol (wat de meeste mensen kennen als WPA2).

Als een aanvaller een valse hotspot opzet, en een Windows Phone-toestel logt automatisch in op dat Wifi-netwerk, is het zo mogelijk om versleutelde domeinlogingegevens te bemachtigen. Via verdere zwakheden in MS-CHAPv2 kan de crimineel het wachtwoord decrypteren en gebruiken om zelf in te loggen op het beveiligde domein.

“Een door een aanvaller gecontroleerd systeem kan zich voordoen als een bekend Wifi-toegangspunt, wat er voor zorgt dat het toestel van een slachtoffer automatisch probeert om dat toegangspunt te authenticeren. Op zijn beurt geeft dit de aanvaller de kans om de versleutelde inloggegevens van het domein van het slachtoffer te onderscheppen”, zegt Microsoft in een veiligheidsbulletin.

“Een aanvaller kan vervolgens cryptografische zwakheden in het PEAP-MS-CHAPv2 protocol misbruiken om aan de inloggegevens van het slachtoffer te komen”, voegt het toe

Microsoft zal geen patch uitbrengen voor het veiligheidsprobleem, omdat het gaat om een ontwerpfout in het Point to Point Tunneling Protocol (PPTP), het oorspronkelijke protocol waarop Microsoft MS-CHAPv2 heeft gebaseerd. Dit protocol wordt voornamelijk gebruikt in Virtual Private Networks (VPN), een beveiligde verbinding die bedrijven vaak gebruiken om veilig contact te maken met het netwerk.

De problemen met het protocol zijn ook niet nieuw: in 2012 toonden veiligheidsonderzoekers tijdens hackersbeurs Defcon al een manier om de Microsoft-beveiliging te kraken.

Het bedrijf uit Redmond komt naar eigen zeggen op de proppen met het nieuwe bulletin na de verschijning van een publiek rapport dat deze reeds bekende zwakheid bij Windows Phone onder de aandacht brengt. Microsoft zegt dat het nog geen actief misbruik heeft waargenomen van de kwetsbaarheid.

In plaats van een patch raadt Microsoft gebruikers aan om altijd eerst het veiligheidscertificaat van een Wifi-hotspot te laten controleren en niet zomaar automatisch in te loggen op het bedrijfsnetwerk. Op de adviespagina vermeldt het een handleiding voor het aanpassen van de instellingen.