D-Link Router Captcha quebrado

Nós relatamos na semana passada que o D-link estava adicionando CAPTCHAs aos seus roteadores para evitar o login automatizado por malware. Sem surpresa, não funciona todo o tempo. A equipe de Sourcesec pegou o novo firmware e começou a cutucando. Eles descobriram que certas páginas não exigem que a autenticação seja passada para acesso. Uma delas é a ativação da WPS. O WPS permite que você faça a configuração do WPA do botão. Uma vez ativado, qualquer cliente próximo pode solicitar o WPA essencial usando uma ferramenta como WPSPY. Apenas as credenciais de nível de usuário são necessárias para tirar isso, então alterar apenas a senha do administrador não o evitará.

[Foto: Schoschie]