מתאם תצוגה אלחוטי של מיקרוסופט. מחשב נייד G7
מתאם התצוגה האלחוטי של מיקרוסופט V2 אובחן עם שלוש נקודות תורפה: פגיעות בהזרקת פקודה, פגיעות של בקרת גישה שבורה ופגיעות של התקפות תאומות מרושעות. הפגיעות הראשונה נבדקה רק במתכנת התצוגה האלחוטית של מיקרוסופט V2 בגרסאות 2.0.8350 עד 2.0.8372 ונמצאה משפיעה על כל הגרסאות בטווח זה. נמצא שבקרת הגישה השבורה ופגיעות התקפות התאומות המרושעות משפיעות רק על גרסת התוכנה 2.0.8350 בטווח שנבדק. גרסאות אחרות של התוכנה לא נבדקו, והפגיעויות טרם נוצלו. לפגיעות הזרקת הפקודה הוקצה התווית CVE-2018-8306 , והיא קיבלה הערכת סיכונים מתונה יחסית.
מתאם התצוגה האלחוטי של מיקרוסופט הוא מכשיר חומרה המאפשר שידור מסכים ממכשירי Microsoft Windows המותאמים ל- Miracast. המנגנון משתמש בחיבור ה- Wi-Fi Direct ובערוץ העברת האודיו / וידאו של Miracast כדי לשדר את המסך. התהליך מוצפן ב- WPA2 בהתאם להצפנת חיבור ה- Wi-Fi הנמצא בשימוש לצורך אבטחה נוספת.
על מנת להתאים את המכשיר לתצוגה, המנגנון מציע גם חיבור לחיצת כפתור וגם חיבור PIN. לאחר יצירת החיבור, אין צורך לאמת את ההתקן בכל חיבור עוקב.
בהמשך לאישור זה שהושג בעבר, פגיעות בהזרקת פקודה יכולה להתרחש כאשר שם מתאם התצוגה מוגדר בפרמטר 'NewDeviceName'. יצירת מצב בו תווים בורחים מתסריטי שורת הפקודה, המכשיר מוגדר לולאת אתחול בה הוא מפסיק לתפקד כראוי. הסקריפט המושפע מפגיעות זו הוא הסקריפט '/cgi-bin/msupload.sh'.
הפגיעות השנייה, בקרת גישה שבורה, יכולה להתרחש כאשר נעשה שימוש בשיטת תצורת כפתור הלחיצה לזיווג המכשירים, ורק דורש שהמכשיר יהיה בטווח אלחוטי ללא צורך בגישה פיזית אליו לצורך אימות PIN. לאחר שהחיבור הראשון נוצר באופן זה, חיבורים הבאים אינם זקוקים לאימות, מה שמאפשר למכשיר שנפגע שליטה ללא הגבלה.
הפגיעות השלישית, התקפת תאומים מרושעת, מתרחשת כאשר תוקף עושה מניפולציה על משתמש להתחבר למכשיר ה- MSWDA שלו בכך שהוא מחובר ל- MSWDA החוקי ורק מכבה את ה- MSWDA של התוקף עצמו שהמשתמש יוכל להתחבר אליו. לאחר יצירת החיבור, המשתמש לא יידע שהוא התחבר למכשיר הלא נכון ולתוקף תהיה גישה לקבצים ולנתונים של המשתמש, וישדר את התוכן במכשיר שלו.
בתחילה התקשרו עם מיקרוסופט ב- 21רחובשל חודש מרץ לגבי מערך הפגיעות הזה. מספר ה- CVE הוקצה ב -19השל חודש יוני ועדכוני הקושחה פורסמו ב -10השל יולי. מאז, מיקרוסופט בדיוק יצאה עם הגילוי הפומבי שלה ייעוץ . הפגיעות משפיעות באופן קולקטיבי על גרסאות 2.0.8350, 2.0.8365 ו- 2.0.8372 של תוכנת ה- Wireless Display Adapter V2 של מיקרוסופט.
עדכוני אבטחה שכותרתו 'חשובים' על ידי מיקרוסופט זמינים לכל שלוש הגרסאות באתר שלהם כחלק מעלון האבטחה שפורסם. הצעה נוספת להפחתה מחייבת שמשתמשים יפתחו את יישום Windows Wireless מתאם התצוגה האלחוטי ויסמנו את התיבה לצד 'התאם עם קוד PIN' בכרטיסייה 'הגדרת אבטחה'. זה מבטיח כי נדרשת גישה פיזית למכשיר כדי להציג את המסך שלו ולהתאים את קודי ה- PIN כדי להבטיח שהתקן שלא ניתן להגיע אליו באופן אלחוטי אינו מתחבר בקלות להתקנה. הפגיעות המשפיעות על שלוש הגרסאות קיבלו א CVSS 3.0 ציון בסיס של 5.5 כל אחד וציון זמני של 5 כל אחד.
