Advisory Microsoft sulla sicurezza 2876146

L'autenticazione PEAP-MS-CHAPv2 potrebbe consentire la divulgazione di informazioni

Data di pubblicazione: domenica 4 agosto 2013

Versione: 1.0

Informazioni generali

Riepilogo

Microsoft è a conoscenza di una segnalazione pubblica che descrive un noto punto debole nel protocollo di autenticazione Wi-Fi conosciuto come PEAP-MS-CHAPv2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2), utilizzato dai dispositivi Windows Phone per l'autenticazione wireless WPA2. In scenari vulnerabili, un utente malintenzionato può consentire la divulgazione di informazioni personali intercettate dal dispositivo di destinazione. Attualmente, Microsoft non è consapevole di attacchi attivi, né segnalazioni di impatto sui clienti. Tuttavia, Microsoft sta monitorando attivamente la situazione per tenere informati i clienti e fornire loro le indicazioni necessarie.

Per sfruttare questa vulnerabilità, un sistema controllato da un utente malintenzionato potrebbe fungere da punto di accesso Wi-Fi noto, consentendo l'autenticazione automatica del dispositivo con il punto di accesso e, di conseguenza, l'intercettazione delle credenziali di dominio crittografate della vittima. L'utente malintenzionato sarebbe in grado così di sfruttare le vulnerabilità del protocollo PEAP-MS-CHAPv2 e ottenere le credenziali di dominio della vittima. Tali credenziali potrebbero essere riutilizzate per autenticare l'accesso alle risorse di rete e consentire tutte le operazioni che un utente può effettuare su tale risorsa di rete.

Raccomandazione. Seguire le operazioni consigliate per richiedere un certificato che sia in grado di verificare un punto di accesso wireless prima di iniziare un processo di autenticazione. Per ulteriori informazioni, consultare la sezione Interventi consigliati di questo advisory.

Dettagli sull'advisory

Software interessato

In questo advisory vengono presi in esame i seguenti dispositivi.

Sistema operativo del dispositivo interessato
Windows Phone 8
Windows Phone 7.8

Qual è lo scopo di questo advisory?
Lo scopo di questo advisory è di informare i clienti che Microsoft è a conoscenza di una segnalazione pubblica che descrive un noto punto debole nel protocollo di autenticazione Wi-Fi conosciuto come PEAP-MS-CHAPv2. Questo problema interessa tutti i dispositivi Windows Phone. Questo problema riguarda i sistemi operativi elencati nella sezione Software interessato.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?
No, non si tratta di una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft. Questo problema è dovuto a vulnerabilità nella crittografia del protocollo PEAP-MS-CHAPv2 e viene risolto apportando modifiche nella configurazione dei punti di accesso wireless e dei dispositivi Windows Phone 8.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Nella maggior parte degli scenari, un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe consentire la divulgazione di informazioni personali della vittima, come le credenziali di dominio, dal dispositivo preso di mira. Un utente malintenzionato potrebbe riutilizzare tali credenziali di dominio per autenticare l'accesso alle risorse di rete ed effettuare qualsiasi azione.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità?
Un sistema controllato da un utente malintenzionato potrebbe fungere da punto di accesso Wi-Fi noto, consentendo l'autenticazione automatica del dispositivo con il punto di accesso e, di conseguenza, l'intercettazione delle credenziali di dominio crittografate della vittima. L'utente malintenzionato sarebbe in grado così di sfruttare le vulnerabilità del protocollo PEAP-MS-CHAPv2 e ottenere le credenziali di dominio della vittima.

Che cos'è PEAP-MS-CHAPv2?
PEAP-MS-CHAPv2 è un protocollo di autenticazione wireless utilizzato per autenticare un utente su un punto di accesso per garantire l'accesso a una rete wireless solo a dispositivi autorizzati. PEAP-MS-CHAPv2 è comunemente utilizzato con il protocollo di protezione wireless WPA2.

Che cos'è WPA2?
WPA2 (Wi-Fi Protected Access II), IEEE 802.11i, è un protocollo di protezione utilizzato per garantire la riservatezza della comunicazione di rete wireless e andrà a sostituire WPA.

Per contribuire alla protezione contro i tentativi di sfruttamento descritti in questo advisory, applicare una delle seguenti soluzioni alternative:

  • Richiedere un certificato che sia in grado di verificare un punto di accesso wireless prima di iniziare un processo di autenticazione dai dispositivi Windows Phone 8

    È possibile configurare un dispositivo Windows Phone 8 in modo che possa convalidare un punto di accesso di rete e verificare che sia effettivamente quella aziendale prima di iniziare un processo di autenticazione. Ciò è reso possibile dalla convalida di un certificato presente sul server dell'azienda. Solo dopo la convalida del certificato, le informazioni relative a nome utente e password vengono inviate al server di autenticazione e il telefono può collegarsi alla rete Wi-Fi.

    Rilascio del certificato:

    Il settore IT aziendale rilascia il certificato root che può essere utilizzato per convalidare il punto di accesso Wireless. Tale certificato dovrebbe avere un nome facile da ricordare, ad esempio, "Contoso Corporate Root Certificate". È possibile che questo certificato sia già stato sottoposto a provisioning da Gestione dei dispositivi mobili dell'IT.

    Il certificato può essere rilasciato tramite messaggio di posta elettronica. Il messaggio di posta elettronica dovrebbe contenere anche le istruzioni del reparto IT su come attivare la convalida del certificato Wi-Fi. Ad esempio, il messaggio di posta elettronica potrebbe contenere i seguenti passaggi.

    Configurazione di un Windows Phone 8 per richiedere un certificato che verifica un punto di accesso wireless:

    Dopo aver ricevuto il certificazione root dal settore IT aziendale, ogni utente Windows Phone 8 dovrà effettuare i seguenti passaggi:

    Cancellare la connessione Wi-Fi configurata in precedenza.

    1. In Impostazioni, Wi-Fi, toccare Avanzate
    2. Toccare e tenere premuta la rete Wi-Fi selezionata, quindi scegliere Cancella

    Creare una nuova connessione e attivare la convalida del certificato server.

    1. In Impostazioni Wi-Fi, toccare il punto di accesso alla rete Wi-Fi che aprirà una pagina di accesso
    2. Inserire il nome utente e la password
    3. Passare a "Convalida certificato server" per attivarlo
    4. Scegliere un certificato
    5. Nell'elenco di certificati da selezionare, scegliere il certificato radice rilasciato dal team IT (ad esempio, "Contoso Corporate Root Certificate"), quindi toccare il pulsante che consente di completare l'operazione

  • Disattivare il Wi-Fi nei dispositivi Windows Phone

    In Impostazioni, Wi-Fi, toccare "Wi-Fi" per disattivarlo

Altre informazioni

Commenti e suggerimenti

Supporto

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (4 agosto 2013): Pubblicazione dell'advisory.

Built at 2014-04-18T01:50:00Z-07:00

Mostra: