パスワードを忘れた? アカウント作成
9760216 story
マイクロソフト

Windows Phone 8にWi-Fi認証の脆弱性。デバイスの設定変更による対応が必要 24

ストーリー by headless
設定 部門より
あるAnonymous Coward 曰く、

Microsoftは4日、Windows PhoneのWi-Fi認証に使われる「PEAP-MS-CHAPv2」の脆弱性が原因で情報漏えいが起こる可能性があるとして、セキュリティアドバイザリを公開した(マイクロソフト セキュリティ アドバイザリ本家/.)。

この脆弱性を悪用するために攻撃者は偽のアクセスポイントに標的デバイスを接続させ、認証を試行する際に送信されるユーザーの暗号化されたドメイン資格情報を傍受する。さらにPEAP-MS-CHAPv2の脆弱性を利用して暗号化されたドメイン資格情報を復号することで、ユーザーのドメイン資格情報を取得できるという。この脆弱性はPEAP-MS-CHAPv2の暗号自体に存在するため、セキュリティー更新プログラムでは対応できず、Wi-FiアクセスポイントおよびWindows Phoneデバイスの構成を変更する必要があるとのことだ。影響を受けるシステムはWindows Phone 7.8およびWindows Phone 8。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 去年半ばには破られてたMS-CHAPv2がWi-Fiで認証に使ってるときでも破れることを確認したので、Microsoft純正デバイスであるWindows Phone向けにアドバイザリ出したっていうことで、Windows Phoneであることは関係ないですよねこれ。WPA2 EnterpriseでEAP-MSCHAPv2使ってる場合は使用をやめろ、という。そして具体的な構成変更先は示されてない、つまり代替は無いと。

  • by Anonymous Coward on 2013年08月10日 16時59分 (#2438583)

    早く日本でWindowsPhone8出してくれよ(できればNokia)。動作もスムーズで使い心地も良いいんだから。アプリも2個(?)までストアを経由しないで導入できるようになるらしいし。

    • by Anonymous Coward

      世界市場から取り残された日本では売ってないWP8脆弱性のストーリー立てて、なにか意味があるのかね。
      数年後はiPhoneよりシェアを獲得するというアナリストの分析も多いのに、気がついてみたら日本はやっぱりガラパゴス。

  • by Anonymous Coward on 2013年08月10日 16時59分 (#2438584)

    MS-CHAPv2終了のお知らせ [srad.jp]なら1年も前に出てるんだが。

  • by Anonymous Coward on 2013年08月10日 21時29分 (#2438690)

    プロトコルに起因する問題であるという事は、デスクトップのWindowsであっても証明書による認証サーバの検証がオフではダメということですね。
    注意しましょう。

    それはそうとして、推奨するアクションの解説では、「会社のIT部門が発行したルート証明書を選択して~」となっています。
    買った証明書を使っていると、同じところから買った証明書で偽装できるという事ですね。
    Windows 7では信頼するCAのほかに接続先ホスト名を指定できるのですが、Windows PhoneのUIには接続先ホスト名の指定はないのでしょうか?
    (デバイスは持っているのですが、WPA/WPA2 EnterpriseなAPがないのでそのような設定画面を表示できません)

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...