Wyłącz WPAD teraz, gdy twoje konta i prywatne dane są zagrożone

Protokół autowyszukiwania serwera proxy (WPAD), włączony domyślnie w systemie Windows i obsługiwany przez inne systemy operacyjne, może zostać wyświetlony kont użytkowników online, wyszukiwań internetowych i innych prywatnych danych, ostrzegają badacze bezpieczeństwa.

Atakujący w średnim poziomie może nadużywać protokołu WPAD w celu przejęcia kontroli nad kontami internetowymi użytkowników i kradzieży ich poufnych informacji, nawet gdy uzyskują dostęp do stron internetowych. zaszyfrowane połączenia HTTPS lub VPN, powiedział Alex Chapman i Paul Stone, badacze z brytyjskim systemem Context Information Security, podczas konferencji bezpieczeństwa DEF CON w tym tygodniu.

WPAD to protokół opracowany w 1 r. przez p firmy Microsoft i innych firm technologicznych, które umożliwiają komputerom automatyczne wykrywanie, z jakiego serwera proxy należy korzystać. Proxy jest zdefiniowane w pliku JavaScript zwanym plikiem auto-config (PAC) proxy.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Lokalizacja plików PAC może zostać odkryta poprzez WPAD w kilku sposoby: poprzez specjalną opcję dynamicznego konfigurowania hosta (DHCP), poprzez lokalne sprawdzenia nazw DNS (Domain Name System) lub przez Link-Local Multicast Name Resolution (LLMNR).

Atakujący mogą nadużywać tych opcji, aby dostarczać komputery w lokalnej sieci sieć z plikiem PAC, który określa fałszywy serwer proxy sieci Web pod ich kontrolą. Można to zrobić w otwartej sieci bezprzewodowej lub gdy atakujący naruszy router lub punkt dostępu.

Kompromitacja pierwotnej sieci komputera jest opcjonalna, ponieważ komputery nadal będą próbowały używać WPAD do odnajdywania serwerów proxy, gdy zostaną przeniesione na zewnątrz i są połączone do innych sieci, takich jak publiczne hotspoty bezprzewodowe. Mimo że WPAD jest najczęściej używany w środowiskach korporacyjnych, jest on domyślnie włączony na wszystkich komputerach z systemem Windows, nawet tych z uruchomionym wydaniem domowym.

Lucian Constantin

W systemie Windows WPAD jest używany, gdy opcja "automatycznie wykryj ustawienia" jest sprawdzone w tym panelu konfiguracyjnym.

Nieuczciwe proxy internetowe umożliwiłoby intruzom przechwycenie i modyfikację niezaszyfrowanego ruchu HTTP, co normalnie nie byłoby dużą sprawą, ponieważ większość głównych stron internetowych używa obecnie protokołu HTTPS (HTTP Secure).

Ponieważ jednak pliki PAC umożliwiają definiowanie różnych serwerów proxy dla poszczególnych adresów URL i mogą wymuszać wyszukiwanie DNS dla tych adresów URL, Chapman i Stone utworzyli skrypt, który przesyła wszystkie URL-e HTTPS za pośrednictwem wyszukiwania DNS do kontrolowanego przez nich serwera.

Pełne adresy URL HTTPS powinny być ukryte, ponieważ mogą zawierać tokeny uwierzytelniające i inne wrażliwe dane jako parametry. Na przykład adres URL //example.com/login?authtoken=ABC1234 może zostać ujawniony przez żądanie DNS dla https.example.com.login.authtoken.ABC1234.leak i zrekonstruowany na serwerze atakującego.

Naukowcy wykazali, że za pomocą tej metody wycieku adresu URL HTTPS opartej na PAC, atakujący mogą wykraść warunki wyszukiwania Google lub sprawdzić, jakie artykuły przeglądał użytkownik w Wikipedii. Jest to wystarczająco złe z punktu widzenia prywatności, ale zagrożenia wprowadzone przez WPAD i nieuczciwe pliki PAC nie kończą się na tym.

Naukowcy opracowali również inny atak, w którym używają fałszywego proxy, aby przekierować użytkownika na fałszywą stronę portalu przechwytującego, podobnie jak te używane przez wiele sieci bezprzewodowych w celu zbierania informacji o użytkownikach przed zezwoleniem im w Internecie.

Ich fałszywy portal przechwytujący zmusza przeglądarki do ładowania popularnych stron internetowych, takich jak Facebook lub Google w tle, a następnie wykonuje przekierowanie HTTP 302 do adresów URL, które mogą dostęp tylko po uwierzytelnieniu użytkownika. Jeśli użytkownik jest już uwierzytelniony - a większość osób ma uwierzytelnione sesje w swoich przeglądarkach - napastnicy będą mogli zbierać informacje z ich kont.

Ten atak może ujawnić nazwy kont ofiar na różnych stronach internetowych, w tym prywatnych ze swoich kont, do których można uzyskać dostęp poprzez bezpośrednie linki. Na przykład prywatne zdjęcia osób na Facebooku są rzeczywiście hostowane w sieci dostarczania treści witryny i mogą być dostępne bezpośrednio przez innych użytkowników, jeśli znają pełny adres URL swojej lokalizacji w CDN.

Ponadto, atakujący mogą wykraść tokeny uwierzytelniające dla popularnego protokołu OAuth, który pozwala użytkownikom logować się na stronach internetowych stron trzecich za pomocą swoich kont Facebook, Google lub Twitter. Korzystając z fałszywego proxy, przekierowań 302 i funkcji wstępnego renderowania strony przeglądarki, mogą przejąć konta mediów społecznościowych, aw niektórych przypadkach uzyskać pełny dostęp do nich.

W wersji demonstracyjnej naukowcy pokazali, w jaki sposób mogli ukraść zdjęcia, historię lokalizacji, e-maile z podsumowaniem, przypomnienia i dane kontaktowe do konta Google, a także wszystkie dokumenty hostowane przez tego użytkownika na Dysku Google.

Warto podkreślić, że ataki te nie łamią szyfrowania HTTPS w żaden sposób, ale raczej obejść go i wykorzystać sposób działania sieci i przeglądarek. Pokazują one, że jeśli WPAD jest włączony, protokół HTTPS jest znacznie mniej skuteczny w ochronie poufnych informacji, niż wcześniej sądzono.

Ale co z osobami, które używają wirtualnych sieci prywatnych (VPN) do szyfrowania całego ruchu internetowego, gdy łączą się z publicznymi lub niezaufana sieć? Najwyraźniej WPAD rozbija te połączenia.

Obaj badacze pokazali, że niektórzy szeroko stosowani klienci VPN, tacy jak OpenVPN, nie czyszczą ustawień internetowych proxy skonfigurowanych za pomocą WPAD. Oznacza to, że jeśli napastnicy zdążyli już zatruć ustawienia proxy komputera za pośrednictwem złośliwego PAC, zanim ten komputer połączy się z VPN, jego ruch będzie nadal kierowany przez złośliwy serwer proxy po przejściu przez VPN. To pozwala na wszystkie wyżej wymienione ataki.

Większość systemów operacyjnych i przeglądarek miała podatne na zagrożenia implementacje WPAD, gdy naukowcy odkryli te problemy na początku tego roku, ale tylko system Windows miał domyślnie włączoną obsługę WPAD.

Od tego czasu, łatki zostały wydane dla systemów OS X, iOS, Apple TV, Android i Google Chrome. Microsoft i Mozilla nadal pracowały nad łatkami od niedzieli.

Naukowcy zalecili użytkownikom komputerów wyłączenie protokołu. "Nie poważnie, wyłącz WPAD!" jeden z ich slajdów prezentacji powiedział. "Jeśli nadal potrzebujesz plików PAC, wyłącz WPAD i skonfiguruj jawny URL dla skryptu PAC, i podawaj go za pośrednictwem HTTPS lub lokalnego pliku."

Chapman i Stone nie byli jedynymi naukowcami, którzy zwracali uwagę na zagrożenia bezpieczeństwa z WPAD. Kilka dni przed prezentacją dwóch innych badaczy, nazwanych Itzik Kotler i Amit Klein, niezależnie pokazało ten sam wyciek adresu URL HTTPS przez złośliwe PAC w prezentacji na konferencji bezpieczeństwa Black Hat. Trzeci badacz, Maxim Goncharov, przeprowadził oddzielną rozmowę na temat zagrożeń bezpieczeństwa WPAD, zatytułowaną BadWPAD.

W maju naukowcy z Verisign i Uniwersytetu Michigan pokazali, że dziesiątki milionów żądań WPAD wycieka do Internetu za każdym razem dzień, w którym laptopy są pobierane poza sieciami przedsiębiorstw. Te komputery szukają wewnętrznych domen WPAD, które kończą się rozszerzeniami, takimi jak .global, .ads, .group, .network, .dev, .office, .prod, .hsbc, .win, .world, .wan, .sap, i .site.

Problem polega na tym, że niektóre z tych rozszerzeń domen stały się ogólnie dostępnymi TLD i mogą być zarejestrowane w Internecie. Może to potencjalnie umożliwić atakującym przejęcie żądań WPAD i wysłanie nieuczciwych plików PAC do komputerów, nawet jeśli nie znajdują się one w tej samej sieci.