The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

24.05.2016 10:43  Проблемы с безопасностью при использовании протокола автоматической настройки прокси WPAD

Организация US-CERT опубликовала предупреждение о возможном совершении новых MITM-атак с использованием протокла WPAD (Web Proxy Autodiscovery Protocol), применяемого для автоматической настройки работы через прокси-сервер. WPAD поддерживается в большинстве web-браузеров и обычно применяется в корпоративной среде для организации подключения устройств через локальный прокси.

Проблема возникла после введения организацией ICANN новой программы регистрации доменных имён первого уровня (gTLD), позволяющей атакующему зарегистрировать свой домен первого уровня, совпадающий с доменом, применяемым во внутренней сети компании. В дальнейшем данный домен может быть использован для перенаправления пользователей на подконтрольный атакующему прокси (например, когда с ноутбука, настроенного на получение конфигурации WPAD, осуществляется выход в интернет не из корпоративной сети).

  1. Главная ссылка к новости (https://www.us-cert.gov/ncas/a...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wpad, proxy, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, AnotherReality (ok), 11:10, 24/05/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    wpad изначально была не секурной? не?
     
     
  • 2.6, Аноним (-), 15:43, 24/05/2016 [^] [ответить]     [к модератору]
  • +/
    А толку от секурности Ну устанавливалось бы там защищённое соединение, атака-то... весь текст скрыт [показать]
     
  • 1.2, Аноним (-), 11:18, 24/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Звучит как кусочек Systemd для реализации шифрования Wi-Fi
     
     
  • 2.17, Аноним (-), 18:24, 24/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Вот и выросло поколение, не понимающее значения буквы d?
     
     
  • 3.23, Аноним (-), 07:30, 25/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Не, выросло поколение без чувства юмора.
     
  • 1.3, sage (??), 11:20, 24/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Год назад уже делали, ну
    https://habrahabr.ru/company/mailru/blog/259521/

    Мои друзья тоже нарегистрировали себе доменов, wpad.school получает довольно много хостов в сутки.

     
  • 1.4, Аноним (-), 14:08, 24/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    применительно к корпоративной сети звучит как чепуха, а вот в кафешках может и прокатить
     
     
  • 2.5, sage (??), 14:50, 24/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Для кафешек, применительно к Windows, вы и так могли подсунуть WPAD через NetBios, причем прокси будет использоваться даже в том случае, если жертва подключилась к VPN.
     
  • 2.8, DmA (??), 15:45, 24/05/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > применительно к корпоративной сети звучит как чепуха, а вот в кафешках может
    > и прокатить

    в корпоративной сетичасто не бывает собственного днс сервера!

     
     
  • 3.16, _ (??), 17:43, 24/05/2016 [^] [ответить]    [к модератору]  
  • +/
    эээ ... мнэиааа ... НО КАК?!?!? 8-о  (С) Доктор Ватсон
     
     
  • 4.18, нах (?), 18:31, 24/05/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    банально - 8.8.8.8
    У сильно продвинутых еще и .4.4

    И таких, прости Г-ди "корпораций", к сожалению, пруд-пруди.
    От размера, кстати, не зависит.

     
     
  • 5.19, Аноним (-), 20:13, 24/05/2016 [^] [ответить]    [к модератору]  
  • +5 +/
    так это го⁠вно, а не корпоративная сеть, ты не путай
     
  • 2.12, DmA (??), 16:09, 24/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > применительно к корпоративной сети звучит как чепуха, а вот в кафешках может
    > и прокатить

    Ну почему же чепуха? Я меняю имя своего компьютера на wpad и ввожу его в домен, и вот я могут управлять сетевыми настройками всех компьютеров домена. Пущу их все через прокси и выловлю, всё что мне надо...

     
     
  • 3.22, Аноним (-), 00:16, 25/05/2016 [^] [ответить]    [к модератору]  
  • +/
    корпорация монстров какая-то, в которой админ бессмысленно и беспощадно подделывает свою же проксю
     
     
  • 4.24, Аноним (-), 07:34, 25/05/2016 [^] [ответить]    [к модератору]  
  • +/
    Они сами напросились!
    Это же чистой воды bofh.
     
  • 4.27, DmA (??), 20:05, 26/05/2016 [^] [ответить]    [к модератору]  
  • +/
    не все корпоративные сети заточены под AD, но DDNS может быть! Либо тот-же AD с некоторыми продвинутыми пользователями с правами админов
     
  • 1.7, DmA (??), 15:45, 24/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я тут пару месяцев назад баловался  включением в Windows блокировки по умолчанию для всех исходящих соединений и выключал при этом все правила в этих исходящих соединениях. Так вот эта зараза тупо стратовала всё равно и генерировала запросы к dns серверу сообщая за одно имя этого компьютера! Если ваш комп называется andrey , то генерируются dns- запросы вида wpad.andrey. Так что службу "автоматического обнаружения прокси" нужно обязательно отключать! А в качестве ДНС сервера лучше установить свой, тот же unbound например , занимает в памяти около 5 мегабайт всего. Установка  и настройка unbound (настройка сводится к прописыванию в качестве днс сервера ip с адресом 127.0.0.1) занимает полминуты, весит он 6 мегабайт.
     
     
  • 2.10, Аноним (-), 15:50, 24/05/2016 [^] [ответить]     [к модератору]  
  • +/
    Осталось лишь придумать вымышленную реальность, в которой злоумышленник покупает... весь текст скрыт [показать]
     
     
  • 3.13, DmA (??), 16:19, 24/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > Осталось лишь придумать вымышленную реальность, в которой злоумышленник покупает себе
    > за много денег зону .andrey, чтобы поиметь всех Андреев планеты.
    > Андрей, расслабьтесь, ради домашних Андреев (а внутри корпративных сетей вряд ли будет
    > домен с таким именем) никто в здравом уме такие деньги отваливать
    > не станет.

    а зачем покупать  такое днс имя провайдеру? Ваш компьютер запросит днс имя wpad.anrrey, а провайдеру не нужно покупать какое-то имя, ему нужно будет вернуть  ip из своег диапазона и сделать там поддельный сервер с настройками прокси.Ваш ИЕ,Хромме или фарефокс загрузит с этого левого севреар провайдера нужные настройки... Это один вариант событий.
    А второй - я  говорил о том,что если днс сервер у провайдера находится, то провайдер легко идентифицирует клиента по его имени компьютера. Последние версии виндовс обычно сами придумывают достаточно уникальное имя для компьютера.Так что такие запросы проходят при включении компьютера и позволют легко идентифицировать разные устройства, даже если они находятся за одним ip адресом.
    Если провайдер увидит запросы с одного ip типа таких
    wpad.zina
    wpad.petr
    wpad.ipad-lena
    То он увидит и сколько устройств в доме и кто их владелец и статистику использования этих устройств!

     
     
  • 4.14, DmA (??), 16:34, 24/05/2016 [^] [ответить]    [к модератору]  
  • +/
    а ещё больше информации у публичных днс серверов типа гугла(8.8.8.8) и яндекса(77.88.8.8), они даже не провайдеры, а будут видеть ваше имя компьютера, что wpad.vasyapupkin то с такого ip вышел, то с такого и могут его однозначно идентифицировать!
    Есть ещё один публичный днс сервер, который заставляют в  российских школах использовать, якобы для фильтрации 198.19.255.9 и зеркало 198.19.255.10(это похоже внутренняя сеть ростелекома из диапазона тестирования производительности 198.18.0.0/15)
    Так что используйте публичные днс сервера, только под страхом смертной казни!
     
  • 4.25, vdb (?), 16:05, 25/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > …достаточно уникальное…

    Немножко беременный?

     
  • 1.9, Аноним (-), 15:47, 24/05/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    В качестве костыля можно запретить использование доменов wpad То есть, чтобы ... весь текст скрыт [показать]
     
  • 1.11, DmA (??), 15:54, 24/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кроме wpad ещё нужно запрещать ISATAP . Вот документ Микрософт "DNS Server Global Query Block List" где перечислены имена, которые должны быть заблокированы на DNS сервере организации, если не используются!  
     
     
  • 2.15, DmA (??), 16:37, 24/05/2016 [^] [ответить]    [к модератору]  
  • +/
    > Кроме wpad ещё нужно запрещать ISATAP . Вот документ Микрософт "DNS Server
    > Global Query Block List" где перечислены имена, которые должны быть заблокированы
    > на DNS сервере организации, если не используются!

    Ещё бы и автодобавление  к имени www в начале и com конце несуществующего адреса отключить!
    И ещё включать выход в интернет днс-клиенту лучше, только после того как браузер запустился!

     
  • 1.20, CHERTS (??), 20:58, 24/05/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    в Win2008Srv и Win2012Srv имена wpad и isatap по-умолчанию заблочены на DNS, см.
    dnscmd /info /enableglobalqueryblocklist
    и
    dnscmd /info /globalqueryblocklist
     
  • 1.21, Аноним (-), 21:28, 24/05/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    или я чего не понимаю или новость из недалекого прошлого еще когда впервые разб... весь текст скрыт [показать]
     
  • 1.26, Аноним (-), 17:10, 26/05/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Это проблема недоумков из ICANN, при чем тут старая добрая грабля с WPAD И кста... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor