Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2876146

A autenticação PEAP-MS-CHAPv2 pode permitir divulgação de informações

Publicado: domingo, 4 de agosto de 2013

Versão: 1.0

Informações Gerais

Sinopse

A Microsoft está ciente de um relatório público que descreve um ponto fraco conhecido no protocolo de autenticação Wi-Fi, denominado PEAP-MS-CHAPv2 (Protected Extensible Authentication Protocol com Microsoft Challenge Handshake Authentication Protocol versão 2), usado pelo Windows Phones para autenticação sem fio WPA2. Em cenários vulneráveis, o invasor que explorasse com êxito essa questão poderia obter êxito na divulgação de informações do dispositivo de destino. A Microsoft até o momento não está ciente de ataques ativos ou de impacto no cliente. A Microsoft está monitorando ativamente essa situação para manter os clientes informados e para fornecer as orientações ao cliente, se necessário.

Para explorar este problema, um sistema controlado por um invasor poderia funcionar como um ponto de acesso Wi-Fi conhecido, fazendo com que o dispositivo-alvo tentasse automaticamente fazer a autenticação usando o ponto de acesso e, por sua vez, permitir que o invasor interceptasse as credenciais de domínio criptografadas da vítima. O invasor poderia então explorar as fraquezas criptográficas no protocolo PEAP-MS-CHAPv2 para obter as credenciais de domínio da vítima. Essas credenciais poderiam ser reutilizadas para autenticar o acesso do invasor a recursos de rede; além disso, o invasor poderia executar qualquer ação à qual o usuário tem direito no recurso de rede.

Recomendação. Aplicar a ação sugerida para exigir um certificado de verificação de um ponto de acesso sem fio antes de iniciar um processo de autenticação. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.

Detalhes do Comunicado

Softwares afetados

Este comunicado descreve os dispositivos a seguir.

Sistema operacional do dispositivo afetado
Windows Phone 8
Windows Phone 7.8

Qual é o escopo do comunicado? 
O objetivo deste comunicado é notificar os clientes de que a Microsoft está ciente de um relatório público que descreve uma fraqueza conhecida referente ao protocolo de autenticação Wi-Fi conhecido como PEAP-MS-CHAPv2. Esse problema afeta dispositivos com o Windows Phone. Esse problema afeta os sistemas operacionais de dispositivo listados na seção Softwares afetados.

Trata-se de uma vulnerabilidade de segurança que requer a publicação de uma atualização pela Microsoft? 
Não, esta não é uma vulnerabilidade de segurança que requer a publicação de uma atualização de segurança pela Microsoft. Este problema é devido a fraquezas criptográficas conhecidas no protocolo PEAP-MS-CHAPv2 e é abordado com a implementação de alterações de configuração nos pontos de acesso sem fio e em dispositivos com Windows Phone 8.

Para que um invasor pode usar a vulnerabilidade? 
Na maioria dos cenários, um invasor que explorar com êxito esse problema pode obter a divulgação de informações de credenciais de domínio da vítima do dispositivo-alvo. Um invasor pode reutilizar as credenciais de domínio da vítima para autenticar o acesso do invasor a recursos de rede, além disso, poderia adotar qualquer ação à qual o usuário tenha direito nesse recurso de rede.

De que forma o invasor pode explorar o problema? 
Um sistema controlado por um invasor poderia funcionar como um ponto de acesso Wi-Fi conhecido, fazendo com que o dispositivo da vítima tentasse automaticamente fazer a autenticação usando o ponto de acesso e, por sua vez, permitir que o invasor interceptasse as credenciais de domínio criptografadas da vítima. O invasor poderia então explorar as fraquezas criptográficas no protocolo PEAP-MS-CHAPv2 para obter as credenciais de domínio da vítima.

O que é PEAP-MS-CHAPv2? 
PEAP-MS-CHAPv2 é um protocolo de autenticação sem fio usado para autenticar um usuário em um ponto de acesso com a intenção de assegurar que apenas dispositivos autorizados possam se conectar a uma rede sem fio. O PEAP-MS-CHAPv2 é comumente usado com o protocolo de proteção wireless WPA2.

O que é WPA2? 
Wi-Fi Protected Access II (WPA2), IEEE 802.11i, é um protocolo de segurança utilizado para garantir a confidencialidade da comunicação de rede sem fio e é o sucessor do WPA.

Para ajudar a proteger contra a exploração do problema descrito neste documento, aplique uma das seguintes ações sugeridas:

  • Exija que um certificado verifique um ponto de acesso sem fio antes de iniciar um processo de autenticação a partir de dispositivos com o Windows Phone 8

    Um dispositivo com Windows Phone 8 pode ser configurado para validar um ponto de acesso à rede e ajudar a garantir que se trata da rede da sua empresa antes de iniciar um processo de autenticação. Isso pode ser feito através da validação de um certificado que está no servidor da empresa. Somente após a validação do certificado o nome de usuário e a senha são enviados para o servidor de autenticação, assim o telefone pode se conectar à rede Wi-Fi.

    Emissão do certificado:

    O departamento de TI corporativo emite o certificado raiz que pode ser usado para validar o ponto de acesso sem fio. O certificado deve ter um nome fácil de lembrar, por exemplo, "Certificado Raiz Corporativo da Contoso". Este certificado já pode ter sido fornecido através da MDM (Solução de Gerenciamento de Dispositivo Móvel) gerenciada por TI.

    O certificado pode ser emitido através de uma mensagem de email. A mensagem de e-mail também deve conter instruções do departamento de TI sobre como ativar a validação do certificado Wi-Fi. Por exemplo, a mensagem de email pode conter as etapas a seguir.

    Configurar um Windows Phone 8 para exigir que um certificado verifique um ponto de acesso sem fio:

    Depois de receber o certificado raiz da TI corporativa, cada usuário do Windows Phone 8 executa as seguintes etapas:

    Excluir a conexão Wi-Fi previamente configurada.

    1. Em Configurações, Wi-Fi, toque em Avançado
    2. Toque e mantenha selecionada a rede Wi-Fi e escolha excluir

    Crie uma nova conexão e ative a validação do certificado do servidor.

    1. Nas configurações de Wi-Fi, toque no ponto de acesso à rede Wi-Fi da empresa, que abrirá uma página de Login
    2. Digite o nome de usuário e a senha
    3. Alterne para "Validar certificado do servidor" para Ligado
    4. Toque para escolher um certificado
    5. Na lista de certificados a serem selecionados, escolha o certificado raiz emitido pela TI corporativa (por exemplo, "Certificado Raiz Corporativo da Contoso") e toque em Concluído

  • Desative Wi-Fi nos dispositivos com Windows Phone

    Em Configurações, Wi-Fi, toque para alternar a "rede Wi-Fi" para Desligado

Outras informações

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (4 de agosto de 2013): Comunicado publicado.

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft