The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проблемы с безопасностью при использовании протокола автоматической настройки прокси WPAD

24.05.2016 10:43

Организация US-CERT опубликовала предупреждение о возможном совершении новых MITM-атак с использованием протокла WPAD (Web Proxy Autodiscovery Protocol), применяемого для автоматической настройки работы через прокси-сервер. WPAD поддерживается в большинстве web-браузеров и обычно применяется в корпоративной среде для организации подключения устройств через локальный прокси.

Проблема возникла после введения организацией ICANN новой программы регистрации доменных имён первого уровня (gTLD), позволяющей атакующему зарегистрировать свой домен первого уровня, совпадающий с доменом, применяемым во внутренней сети компании. В дальнейшем данный домен может быть использован для перенаправления пользователей на подконтрольный атакующему прокси (например, когда с ноутбука, настроенного на получение конфигурации WPAD, осуществляется выход в интернет не из корпоративной сети).

  1. Главная ссылка к новости (https://www.us-cert.gov/ncas/a...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wpad, proxy, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, AnotherReality (ok), 11:10, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    wpad изначально была не секурной? не?
     
     
  • 2.6, Аноним (-), 15:43, 24/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А толку от секурности? Ну устанавливалось бы там защищённое соединение, атака-то всё равно с помощью доменного имени. Если твоя операционка привыкла лазать на wpad.somеthing (который есть в корпоративной сети), то она полезет на него и вне сети. А вне сети этот wpad.somеthing уже управляется совсем не админом корпорации, а злоумышленником.
     

  • 1.2, Аноним (-), 11:18, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Звучит как кусочек Systemd для реализации шифрования Wi-Fi
     
     
  • 2.17, Аноним (-), 18:24, 24/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вот и выросло поколение, не понимающее значения буквы d?
     
     
  • 3.23, Аноним (-), 07:30, 25/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не, выросло поколение без чувства юмора.
     

  • 1.3, sage (??), 11:20, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Год назад уже делали, ну
    https://habrahabr.ru/company/mailru/blog/259521/

    Мои друзья тоже нарегистрировали себе доменов, wpad.school получает довольно много хостов в сутки.

     
  • 1.4, Аноним (-), 14:08, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    применительно к корпоративной сети звучит как чепуха, а вот в кафешках может и прокатить
     
     
  • 2.5, sage (??), 14:50, 24/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Для кафешек, применительно к Windows, вы и так могли подсунуть WPAD через NetBios, причем прокси будет использоваться даже в том случае, если жертва подключилась к VPN.
     
  • 2.8, DmA (??), 15:45, 24/05/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > применительно к корпоративной сети звучит как чепуха, а вот в кафешках может
    > и прокатить

    в корпоративной сетичасто не бывает собственного днс сервера!

     
     
  • 3.16, _ (??), 17:43, 24/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    эээ ... мнэиааа ... НО КАК?!?!? 8-о  (С) Доктор Ватсон
     
     
  • 4.18, нах (?), 18:31, 24/05/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    банально - 8.8.8.8
    У сильно продвинутых еще и .4.4

    И таких, прости Г-ди "корпораций", к сожалению, пруд-пруди.
    От размера, кстати, не зависит.

     
     
  • 5.19, Аноним (-), 20:13, 24/05/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    так это го⁠вно, а не корпоративная сеть, ты не путай
     
  • 2.12, DmA (??), 16:09, 24/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > применительно к корпоративной сети звучит как чепуха, а вот в кафешках может
    > и прокатить

    Ну почему же чепуха? Я меняю имя своего компьютера на wpad и ввожу его в домен, и вот я могут управлять сетевыми настройками всех компьютеров домена. Пущу их все через прокси и выловлю, всё что мне надо...

     
     
  • 3.22, Аноним (-), 00:16, 25/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    корпорация монстров какая-то, в которой админ бессмысленно и беспощадно подделывает свою же проксю
     
     
  • 4.24, Аноним (-), 07:34, 25/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Они сами напросились!
    Это же чистой воды bofh.
     
  • 4.27, DmA (??), 20:05, 26/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    не все корпоративные сети заточены под AD, но DDNS может быть! Либо тот-же AD с некоторыми продвинутыми пользователями с правами админов
     

  • 1.7, DmA (??), 15:45, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я тут пару месяцев назад баловался  включением в Windows блокировки по умолчанию для всех исходящих соединений и выключал при этом все правила в этих исходящих соединениях. Так вот эта зараза тупо стратовала всё равно и генерировала запросы к dns серверу сообщая за одно имя этого компьютера! Если ваш комп называется andrey , то генерируются dns- запросы вида wpad.andrey. Так что службу "автоматического обнаружения прокси" нужно обязательно отключать! А в качестве ДНС сервера лучше установить свой, тот же unbound например , занимает в памяти около 5 мегабайт всего. Установка  и настройка unbound (настройка сводится к прописыванию в качестве днс сервера ip с адресом 127.0.0.1) занимает полминуты, весит он 6 мегабайт.
     
     
  • 2.10, Аноним (-), 15:50, 24/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Осталось лишь придумать вымышленную реальность, в которой злоумышленник покупает себе за много денег зону .andrey, чтобы поиметь всех Андреев планеты.

    Андрей, расслабьтесь, ради домашних Андреев (а внутри корпративных сетей вряд ли будет домен с таким именем) никто в здравом уме такие деньги отваливать не станет.

     
     
  • 3.13, DmA (??), 16:19, 24/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Осталось лишь придумать вымышленную реальность, в которой злоумышленник покупает себе
    > за много денег зону .andrey, чтобы поиметь всех Андреев планеты.
    > Андрей, расслабьтесь, ради домашних Андреев (а внутри корпративных сетей вряд ли будет
    > домен с таким именем) никто в здравом уме такие деньги отваливать
    > не станет.

    а зачем покупать  такое днс имя провайдеру? Ваш компьютер запросит днс имя wpad.anrrey, а провайдеру не нужно покупать какое-то имя, ему нужно будет вернуть  ip из своег диапазона и сделать там поддельный сервер с настройками прокси.Ваш ИЕ,Хромме или фарефокс загрузит с этого левого севреар провайдера нужные настройки... Это один вариант событий.
    А второй - я  говорил о том,что если днс сервер у провайдера находится, то провайдер легко идентифицирует клиента по его имени компьютера. Последние версии виндовс обычно сами придумывают достаточно уникальное имя для компьютера.Так что такие запросы проходят при включении компьютера и позволют легко идентифицировать разные устройства, даже если они находятся за одним ip адресом.
    Если провайдер увидит запросы с одного ip типа таких
    wpad.zina
    wpad.petr
    wpad.ipad-lena
    То он увидит и сколько устройств в доме и кто их владелец и статистику использования этих устройств!

     
     
  • 4.14, DmA (??), 16:34, 24/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    а ещё больше информации у публичных днс серверов типа гугла(8.8.8.8) и яндекса(77.88.8.8), они даже не провайдеры, а будут видеть ваше имя компьютера, что wpad.vasyapupkin то с такого ip вышел, то с такого и могут его однозначно идентифицировать!
    Есть ещё один публичный днс сервер, который заставляют в  российских школах использовать, якобы для фильтрации 198.19.255.9 и зеркало 198.19.255.10(это похоже внутренняя сеть ростелекома из диапазона тестирования производительности 198.18.0.0/15)
    Так что используйте публичные днс сервера, только под страхом смертной казни!
     
  • 4.25, vdb (?), 16:05, 25/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > …достаточно уникальное…

    Немножко беременный?

     

  • 1.9, Аноним (-), 15:47, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В качестве костыля можно запретить использование доменов "wpad". То есть, чтобы сайты вида "wpad.work" существовать не могли. Это не решит проблему корпораций, у которых в интранете домены вида "office.work", поскольку вредоносный адрес будет уже иметь поддомен (wpad.office.work), но лучше, чем ничего.
     
  • 1.11, DmA (??), 15:54, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кроме wpad ещё нужно запрещать ISATAP . Вот документ Микрософт "DNS Server Global Query Block List" где перечислены имена, которые должны быть заблокированы на DNS сервере организации, если не используются!  
     
     
  • 2.15, DmA (??), 16:37, 24/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Кроме wpad ещё нужно запрещать ISATAP . Вот документ Микрософт "DNS Server
    > Global Query Block List" где перечислены имена, которые должны быть заблокированы
    > на DNS сервере организации, если не используются!

    Ещё бы и автодобавление  к имени www в начале и com конце несуществующего адреса отключить!
    И ещё включать выход в интернет днс-клиенту лучше, только после того как браузер запустился!

     

  • 1.20, CHERTS (??), 20:58, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    в Win2008Srv и Win2012Srv имена wpad и isatap по-умолчанию заблочены на DNS, см.
    dnscmd /info /enableglobalqueryblocklist
    и
    dnscmd /info /globalqueryblocklist
     
  • 1.21, Аноним (-), 21:28, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    или я чего не понимаю или новость из недалекого прошлого. еще когда впервые разбирая логи шлюза и узнав о неизвестном мне wpad удосужился загуглить это слово, то одни из первых ссылок были как раз на данную проблему. а было это с год как назад
     
  • 1.26, Аноним (-), 17:10, 26/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это проблема недоумков из ICANN, при чем тут старая добрая грабля с WPAD?

    И кстати говоря, недоадминчики WPAD вовсю используют с проксированием, не умея настроить транспарентный прокси. Он же типа не нужен, нэ трэба, ёптыль.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру