Consultoria de Segurança
Comunicado de Segurança da Microsoft 2876146
Autenticação sem fio PEAP-MS-CHAPv2 pode permitir a divulgação não autorizada de informações
Publicado em: 04 de agosto de 2013
Versão: 1.0
Informações Gerais
Resumo executivo
A Microsoft está ciente de um relatório público que descreve uma fraqueza conhecida no protocolo de autenticação Wi-Fi conhecido como PEAP-MS-CHAPv2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol versão 2), usado por Windows Phones para autenticação sem fio WPA2. Em cenários vulneráveis, um invasor que explorar com êxito esse problema poderá obter a divulgação de informações contra o dispositivo de destino. No momento, a Microsoft não está ciente de ataques ativos ou do impacto no cliente. A Microsoft está monitorando ativamente essa situação para manter os clientes informados e fornecer orientação ao cliente conforme necessário.
Para explorar esse problema, um sistema controlado pelo invasor pode se passar por um ponto de acesso Wi-Fi conhecido, fazendo com que o dispositivo de destino tente se autenticar automaticamente com o ponto de acesso e, por sua vez, permitindo que o invasor intercepte as credenciais de domínio criptografado da vítima. Um invasor pode então explorar fraquezas criptográficas no protocolo PEAP-MS-CHAPv2 para obter as credenciais de domínio da vítima. Essas credenciais poderiam ser reutilizadas para autenticar o invasor em recursos de rede, e o invasor poderia executar qualquer ação que o usuário pudesse executar nesse recurso de rede.
Recomendação. Aplique a ação sugerida para exigir um certificado verificando um ponto de acesso sem fio antes de iniciar um processo de autenticação. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.
Detalhes do Comunicado
Softwares afetados
Este comunicado aborda os seguintes dispositivos.
| Sistema operacional do dispositivo afetado |
|---|
| Windows Phone 8 |
| Windows Phone 7.8 |
Perguntas frequentes sobre o Advisory
Qual o escopo da assessoria?
O objetivo deste comunicado é notificar os clientes de que a Microsoft está ciente de um relatório público que descreve uma fraqueza conhecida em relação ao protocolo de autenticação Wi-Fi conhecido como PEAP-MS-CHAPv2. Esse problema afeta dispositivos Windows Phone. Esse problema afeta os sistemas operacionais do dispositivo listados na seção Softwares afetados.
Esta é uma vulnerabilidade de segurança que exige que a Microsoft emita uma atualização de segurança?
Não, esta não é uma vulnerabilidade de segurança que requer que a Microsoft emita uma atualização de segurança. Esse problema é devido a fraquezas criptográficas conhecidas no protocolo PEAP-MS-CHAPv2 e é resolvido por meio da implementação de alterações de configuração nos pontos de acesso sem fio e em dispositivos Windows Phone 8.
O que um invasor pode usar o problema para fazer?
Na maioria dos cenários, um invasor que explorar com êxito esse problema pode obter a divulgação de informações das credenciais de domínio de uma vítima do dispositivo de destino. Um invasor pode reutilizar as credenciais de domínio de uma vítima para autenticá-lo em recursos de rede, e o invasor pode executar qualquer ação que o usuário possa executar nesse recurso de rede.
Como um invasor pode explorar o problema?
Um sistema controlado pelo invasor pode se passar por um ponto de acesso Wi-Fi conhecido, fazendo com que o dispositivo da vítima tente se autenticar automaticamente com o ponto de acesso e, por sua vez, permitindo que o invasor intercepte as credenciais de domínio criptografadas da vítima. Um invasor pode então explorar fraquezas criptográficas no protocolo PEAP-MS-CHAPv2 para obter as credenciais de domínio da vítima.
O que é PEAP-MS-CHAPv2?
PEAP-MS-CHAPv2 é um protocolo de autenticação sem fio usado para autenticar um usuário em um ponto de acesso com a intenção de garantir que apenas dispositivos autorizados possam se conectar a uma rede sem fio. PEAP-MS-CHAPv2 é comumente usado com o protocolo de proteção sem fio WPA2.
O que é WPA2?
Wi-Fi Protected Access II (WPA2), IEEE 802.11i, é um protocolo de segurança usado para garantir a confidencialidade da comunicação de rede sem fio e é o sucessor do WPA.
Ações sugeridas
Para ajudar a proteger contra a exploração do problema descrito neste comunicado, aplique uma das seguintes ações sugeridas:
Exigir um certificado que verifique um ponto de acesso sem fio antes de iniciar um processo de autenticação a partir de dispositivos Windows Phone 8
Um dispositivo Windows Phone 8 pode ser configurado para validar um ponto de acesso de rede para ajudar a garantir que a rede seja a rede da sua empresa antes de iniciar um processo de autenticação. Isso pode ser feito validando um certificado que está no servidor da sua empresa. Somente após a validação do certificado é que as informações de nome de usuário e senha são enviadas ao servidor de autenticação, para que o telefone possa se conectar à rede Wi-Fi.
Emissão do certificado:
A TI corporativa emite o certificado raiz que pode ser usado para validar o ponto de acesso sem fio. O certificado deve ter um nome fácil de lembrar; por exemplo, "Certificado raiz corporativo da Contoso". Esse certificado já poderia ter sido provisionado por meio do MDM (Mobile Device Management solution) gerenciado por TI.
O certificado pode ser emitido através de uma mensagem de e-mail. A mensagem de email também deve conter instruções do departamento de TI sobre como ativar a validação de certificado Wi-Fi. Por exemplo, a mensagem de email pode conter as seguintes etapas.
Configurando um Windows Phone 8 para exigir um certificadoverificando um ponto de acesso sem fio:
Depois de receber o certificado raiz da TI corporativa, cada usuário do Windows Phone 8 executa as seguintes etapas:
Exclua a conexão Wi-Fi configurada anteriormente.
- Em Configurações, Wi-Fi, toque em Avançado
- Toque sem soltar na rede Wi-Fi selecionada e selecione eliminar
Crie uma nova conexão e habilite a validação do certificado do servidor.
- Nas definições de Wi-Fi, toque no ponto de acesso à rede Wi-Fi empresarial que abrirá uma página de início de sessão
- Nome de usuário e senha
- Alterne "Validar certificado do servidor" para Ativado
- Toque para escolher um certificado
- Na lista de certificados a serem selecionados, escolha o certificado raiz emitido pela TI corporativa (por exemplo, "Certificado raiz corporativo da Contoso") e toque em Concluído
Desativar o Wi-Fi em dispositivos Windows Phone
Em Configurações, Wi-Fi, toque para alternar "Rede Wi-Fi" para Desativado
Outras Informações
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (4 de agosto de 2013): Comunicado publicado.
Construído em 2014-04-18T13:49:36Z-07:00