Belgijscy specjaliści od bezpieczeństwa znaleźli podatność w protokołach szyfrujących WPA i WPA2, których powszechnie używa się w sieciach Wi-Fi. Nosi ona nazwę KRACK i - mówiąc krótko - pozwala atakującym odczytać informacje uznane za zaszyfrowane. Podatność została podana do publicznej wiadomości dopiero teraz, jednak użytkownicy aktualnych wersji Windows mogą spać spokojnie.
Zacznijmy od charakterystyki KRACK. Jak wyjaśniają badacze, "przy wykorzystaniu tej nowej techniki atakujący mogą odczytać informacje, które z założenia zostały bezpiecznie zaszyfrowane. Może to doprowadzić do nadużyć, takich jak kradzież informacji - numerów kart kredytowych, haseł, wiadomości czatu, maili, zdjęć itd. Atak działa we wszystkich nowoczesnych, chronionych sieciach Wi-Fi. W zależności od konfiguracji sieciowej możliwe jest również wstrzyknięcie zmanipulowanych danych. Przykładowo, atakujący może być w stanie wstrzyknąć ransomware lub złośliwe oprogramowanie do stron internetowych". Badacze przetestowali szereg urządzeń pod kątem podatności i wykryli, że na jej różne warianty nie są odporne urządzenia/systemy z Android, Linux, Apple, Windows, OpenBSD, MediaTek i Linksys. Przebieg ataku można obejrzeć na udostępnionym materiale wideo:
Po upublicznieniu informacji o podatności Microsoft zareagował błyskawicznie, informując klientów, że ma już odpowiednie łatki. Po kilku godzinach stało się jasne, że na aktualizację nie trzeba będzie czekać, bowiem łatki znajdują się w pakiecie aktualizacji zbiorczych październikowego Patch Tuesday. Innymi słowy, jeśli pobraliśmy aktualizacje sprzed tygodnia, nasz system będzie bezpieczny. Dotyczy to oczywiście Windows w wersji 7 lub wyższej - użytkownicy XP i Visty z racji wygaszonego wsparcia nadal pozostają narażeni. Jak mówi rzecznik firmy, "Microsoft wypuścił aktualizacje bezpieczeństwa 10 października i klienci, którzy mają włączony Windows Update i dokonują aktualizacji bezpieczeństwa, są automatycznie chronieni. Dokonaliśmy aktualizacji, by chronić klientów tak szybko, jak to możliwe, jednak jako odpowiedzialny partner w przemyśle zachowaliśmy dyskretność, by pozostali dostawcy mogli opracować i udostępnić aktualizacje".
Microsoft wiedział o luce bezpieczeństwa na długo przed jej publicznym ujawnieniem, jednak nie wspomniał o niej na listach zmian aktualizacji sprzed tygodnia, by przyczynić się do ochrony użytkowników systemów, które na łatki musiały jeszcze poczekać.
