Die Sicherheitsanfälligkeit in WPAD kann den Zugriff auf Daten ermöglichen, die mit HTTPS und VPN geschützt sind

Forscher empfehlen, WPAD unter Windows dringend zu deaktivieren

Das Web Proxy Auto-Discovery-Protokoll (WPAD) ist ein automatisches Proxy-Konfigurationsprotokoll, das von Clients (Browser) verwendet wird, um den Speicherort (URL) einer Konfigurationsdatei mithilfe von DHCP- und / oder DNS-Technologien zu bestimmen. Bei einer Anfrage ruft der Browser die FindProxyForURL-Funktion aus der PAC-Datei auf, in die die URL und der Host übertragen werden. Die erwartete Antwort ist eine Liste von Proxies, über die der Zugriff auf diese Adresse erfolgt.

WPAD ist unter Windows standardmäßig aktiviert und wird von anderen Betriebssystemen unterstützt. Dieses Protokoll unterliegt jedoch, wie gezeigt , einer Reihe von SicherheitslückenDie Spezialisten für Informationssicherheit Alex Chapman und Paul Stone bei Defcon. Angreifer, die diese Sicherheitsanfälligkeiten verwenden, können trotz HTTPS- oder VPS-Verbindungen Opferdaten (Suchverlauf, Zugriff auf Konten, Fotos, Dokumente usw.) abrufen. Die Art des Angriffs, die in diesem Fall verwendet wird, ist Man-in-the-Middle.

Der Speicherort der PAC-Konfigurationsdatei kann mithilfe von DHCP (Dynamic Host Configuration Protocol), DNS (Domain Name System) oder LLMNR (Link-Local Multicast Name Resolution) ermittelt werden. Falls gewünscht, können Cyberkriminelle die Sicherheitsanfälligkeit in WPAD ausnutzen, indem sie den Speicherort einer speziell konfigurierten PAC-Datei angeben, die eine Browseranforderung über von Cyberkriminellen kontrollierte Proxyserver sendet. Dies kann in einem offenen drahtlosen Netzwerk erreicht werden, indem ein Router oder Zugangspunkt kompromittiert wird oder indem jedem der Zugang zu seinem eigenen, ordnungsgemäß konfigurierten Zugangspunkt ermöglicht wird.

Es ist nicht erforderlich, das eigene Netzwerk des angegriffenen PCs zu gefährden, da das System WPAD verwendet, um Proxys zu erkennen, wenn es über ein offenes drahtloses Netzwerk verbunden ist. Gleichzeitig wird WPAD auch in Unternehmensumgebungen verwendet. Diese Option ist standardmäßig auf allen Windows-PCs aktiviert, wie oben erwähnt.

Mit dem eigenen Proxyserver können Angreifer unverschlüsselten HTTP-Verkehr abfangen und ändern. Dies gibt Cyberkriminellen nicht zu viel, da die meisten Websites jetzt mit HTTPS (HTTP Secure) arbeiten. Da PAC-Dateien jedoch die Möglichkeit bieten, unterschiedliche Proxy-Adressen für bestimmte Webadressen festzulegen und Sie eine DNS-Suche für diese Adressen erzwingen können, haben die "Hasser" -Hacker ein Skript erstellt, mit dem Sie alle geschützten HTTPS-URLs auf Ihren eigenen Server übertragen können.

Die vollständige HTTPS-URL muss ausgeblendet sein, da sie Authentifizierungstoken und andere private Informationen enthält. Ein Angreifer kann die Adresse jedoch wiederherstellen. Beispielsweise kann example.com/login?authtoken=ABC1234 mithilfe der DNS-Abfrage https.example.com.login.authtoken.ABC1234.leak wiederhergestellt und auf dem Cybercriminal-Server wiederhergestellt werden.

Mit dieser Methode kann der Angreifer eine Liste der Suchanfragen des Opfers abrufen oder sehen, welche Artikel einer bestimmten Ressource das Opfer gerade liest. Dies ist in Bezug auf die Informationssicherheit nicht allzu gut, scheint aber nicht zu gefährlich zu sein. Die Probleme des Opfers enden zwar nicht dort.

Forscher haben eine andere Art von Angriff entwickelt, mit der der Benutzer eines offenen drahtlosen Zugangspunkts auf die gefälschte Seite des Zugangspunkts umgeleitet werden kann. Viele drahtlose Netzwerke sammeln Benutzerdaten über spezielle Seiten. Nach Eingabe seiner Daten erhält der Benutzer Zugang zum Internet (häufig wird ein solches Schema von Mobilfunkanbietern an Flughäfen verwendet).

Die von Cyberkriminellen gebildete Seite lädt Facebook oder Google, die dem Benutzer im Hintergrund bekannt sind, und führt dann eine 302-HTTP-Umleitung zu anderen URLs durch, sofern der Benutzer authentifiziert ist. Wenn sich der Benutzer bereits in seinem Konto angemeldet hat und sich die meisten Benutzer nicht mit verschiedenen Ressourcen von ihrem PC oder Laptop aus von ihren Konten abmelden, kann der Betrüger die Identität des Opfers ermitteln.


Unter Windows wird WPAD aktiviert, wenn die Option "Einstellungen automatisch erkennen" aktiviert ist. Diese Option ist standardmäßig aktiviert.

Dies gilt für Konten mit einer Vielzahl von Ressourcen. Über direkte Links kann der Angreifer auf die persönlichen Fotos des Opfers sowie auf andere Daten zugreifen. Angreifer können auch Token für das beliebte OAuth-Protokoll stehlen, mit dem Sie sich mit Ihrem Facebook-, Google- oder Twitter-Konto bei verschiedenen Websites anmelden können.

Spezialisten zeigten die Fähigkeiten der neuen Methode auf Defcon. Mithilfe ihrer Technologie erhielten Experten Zugriff auf das Foto des Opfers, den Koordinatenverlauf, Kalendererinnerungen und die Profildaten des Google-Kontos sowie Zugriff auf alle Dokumente des Opfers in Google Drive. Hervorzuheben ist hier, dass der Angriff die HTTPS-Verschlüsselung nicht beeinflusst, die Daten dennoch geschützt sind. Wenn WPAD jedoch im Betriebssystem enthalten ist, ist HTTPS im Hinblick auf den Schutz privater Benutzerdaten bereits viel weniger effektiv. Dies gilt auch für die Informationen der Benutzer, die mit VPN arbeiten. Mit WPAD können Sie auch auf diese Daten zugreifen.

Die Sache ist, dass beliebte VPN-Clients wie OpenVPN die von WPAD angegebenen Netzwerkeinstellungen nicht löschen. Dies bedeutet, dass der Datenverkehr auch über den Proxyserver des Proxys geleitet wird, wenn es dem Angreifer bereits gelungen ist, seine Proxy-Einstellungen auf dem PC des Opfers zu installieren, bevor die VPN-Verbindung auf diesem PC hergestellt wurde. Dies eröffnet die Möglichkeit, alle oben angegebenen Daten zu erhalten.

Die meisten Betriebssysteme und Browser arbeiten mit WPAD und sind für diese Art von Angriff anfällig. Experten, die das Problem entdeckt haben, haben es den Entwicklern verschiedener anfälliger Softwareprodukte gemeldet. Patches für OS X, iOS, Apple TV, Android und Google Chrome. Microsoft und Mozilla arbeiten noch an der Behebung des Problems.

Wie können Sie sich schützen?

Am einfachsten ist es, WPAD zu deaktivieren. Wenn Sie PAC-Dateien benötigen, deaktivieren Sie WPAD und konfigurieren Sie URL-Ausnahmen selbst.

Chapman und Stone sind nicht die einzigen Experten für Informationssicherheit, die auf die Verwundbarkeit des WPAD-Protokolls aufmerksam gemacht haben. Einige Tage zuvor wurde eine ähnliche Art von Angriff auf einer Black Hat-Konferenz demonstriert. Im Mai gab ein gemeinsames Team von Verisign-Experten und der University of Michigan bekannt, dass täglich zig Millionen WPAD-Anfragen online gehen, wenn die Laptops der Benutzer von den Unternehmensnetzwerken getrennt werden. Diese Computer fragen interne WPAD-Domänen mit Erweiterungen wie .global, .ads, .group, .network, .dev, .office, .prod, .hsbc, .win, .world, .wan, .sap und .site ab .

Das Problem besteht darin, dass solche Domänenzonen bereits im globalen Netzwerk vorhanden sind und ein Angreifer auf Wunsch Domänen registrieren kann, für die Anforderungen von Unternehmenscomputern gesendet werden, die vom Unternehmensnetzwerk getrennt sind. Auf diese Weise können Angreifer selbst konfigurierte PAC-Dateien an Computer weiterleiten, die nicht mit Unternehmensnetzwerken verbunden sind, aber WPAD-Anforderungen zur Erkennung der oben genannten Adressen im globalen Netzwerk geben.

Source: https://habr.com/ru/post/de396719/