Les terminaux équipés du système Windows Phone présentent une vulnérabilité au sein de leur module de connexion Wi-Fi. Plus précisément, une personne malveillante serait en mesure de récupérer les informations d'identification de domaine chiffrées de la victime.
Sur son site officiel, Microsoft explique avoir pris connaissance d'une nouvelle vulnérabilité affectant les terminaux équipés de Windows Phone 7.8 ou Windows Phone 8. Celle-ci concerne le protocole d'authentification Wi-Fi PEAP-MS-CHAPv2 utilisé par le système pour une connexion sans fil WPA2.
En pratique, une personne malintentionnée pourrait ainsi créer un point d'accès Wi-Fi. Microsoft explique qu'une fois la victime connectée, « un attaquant pourrait alors exploiter des vulnérabilités de chiffrement du protocole ». Le hacker serait ensuite en mesure d'obtenir les informations de connexion sur un réseau d'entreprise. « Cet attaquant pourrait alors exécuter n'importe quelle action que l'utilisateur serait autorisé à exécuter sur cette ressource réseau », ajoute Microsoft.
La firme de Redmond ne déploie aucun correctif et suggère d'ajouter d'un certificat placé sur le serveur de l'entreprise avant l'authentification à un réseau sans-fil.