利用無線網路漏洞來竊取微軟 Windows Phone 7.8 ~ 8 手機資料
漏洞發佈日期:
2013/08/04
微軟官方網站說明:
http://technet.microsoft.com/en-us/security/advisory/2876146
官方解決方案:
目前官方暫不修補該漏洞。
建議:
1.手機上網時驗證AP所發放的憑證。
2.平時關掉無線網路。(買了一隻WP8手機,結果有漏洞卻要消費者關掉無線網路?有這麼好笑嗎?)
說明:
攻擊者可以將由其所控制的系統,偽裝成已知無線網路AP,被害者的 Windows Phone 手機將自動與這個AP進行身份驗證,之後攻擊者就能截獲有關被害者加密網域憑證的資料。隨後,攻擊者就可以利用 PEAP-MS-CHAPv2 的加密漏洞,獲取被害者的憑證。
何謂 PEAP-MS-CHAP v2 協定:
http://technet.microsoft.com/zh-tw/library/cc779326(v=ws.10).aspx
PEAP-MS-CHAP v2的無線網路驗證架構:
http://technet.microsoft.com/en-us/library/dd348500(v=WS.10).aspx
轉載自《網路攻防戰》
沒有留言:
張貼留言