Sistemele de operare Windows Phone 7.8 şi Windows Phone 8 conţin o breşă de securitate care permite, prin exploatarea unor deficienţe ale protocoalelor de criptare folosite de Microsoft, furtul datelor de autentificare într-un domeniu Windows. Compania a admis această deficienţă, însă aceasta nu va fi corectată printr-o actualizare software.
Vulnerabilitatea a fost descoperită în cadrul protocolului PEAP-MS-CHAPv2, care este folosit de platformele Windows Phone pentru autentificarea în reţelele criptate cu Wi-Fi Protected Access (WPA) 2. Atacatorii pot exploata această breşă prin setarea unui punct de acces wireless special pregătit care imită identificatorii unei reţele deja cunoscute, interceptarea traficului oferind acces la datele de autentificare într-o reţea Windows.
Conform buletinului informativ Microsoft, încercarea automată de conectare la reţeaua wireless va permite atacatorilor să intre în posesia datelor de autentificare criptate ale victimei. Prin exploatarea unei deficienţe de criptare prezentă în protocolul de autentificare MS-CHAPv2, atacatorii vor putea obţine datele de autentificare folosite de victimă, cu ajutorul cărora vor căpăta astfel acces la reţeaua companiei. Metoda de atac este periculoasă doar pentru utilizatorii care au acces la infrastructuri enterprise Windows
Această metodă de atac foloseşte o vulnerabilitate a criptării MS-CHAPv2 care este cunoscută de mai bine de un an şi comportamentul platformei Windows Phone, care se conectează la o reţea wireless fără să verifice în prealabil şi validitatea certificatului digital. Microsoft nu va oferi o actualizare pentru această problemă pentru că nu prea este nimic de rezolvat, soluţia oferită în cadrul buletinului informativ fiind forţarea cererii şi verificării certificatului digital al unui punct de acces înaintea încercării de autentificare.