Une vulnérabilité dans WPAD pourrait permettre l'accès aux données protégées via HTTPS et VPN

Les chercheurs recommandent de désactiver d'urgence WPAD sous Windows

Le protocole de détection automatique de proxy Web (WPAD) est un protocole de configuration automatique de proxy utilisé par les clients (navigateur) pour déterminer l'emplacement (URL) d'un fichier de configuration à l'aide des technologies DHCP et / ou DNS. Lors d'une demande, le navigateur appelle la fonction FindProxyForURL à partir du fichier PAC, où l'URL et l'hôte sont transférés. La réponse attendue est une liste de procurations à travers lesquelles l'accès à cette adresse sera effectué.

WPAD est activé par défaut sur Windows et est pris en charge par d'autres systèmes d'exploitation. Mais ce protocole est soumis à un certain nombre de vulnérabilités, comme indiquéLes spécialistes de la sécurité de l'information Alex Chapman et Paul Stone chez Defcon. Les attaquants utilisant ces vulnérabilités peuvent obtenir les données des victimes (historique de recherche, accès aux comptes, photos, documents, etc.), malgré les connexions HTTPS ou VPS. Le type d'attaque utilisé dans ce cas est l'homme au milieu.

L'emplacement du fichier de configuration PAC peut être déterminé à l'aide du protocole de configuration d'hôte dynamique (DHCP), du système de noms de domaine (DNS) ou de la résolution de noms de multidiffusion en liaison locale (LLMNR). Si vous le souhaitez, les cybercriminels peuvent exploiter la vulnérabilité dans WPAD en spécifiant l'emplacement d'un fichier PAC spécialement configuré qui enverra une demande de navigateur via des serveurs proxy contrôlés par des cybercriminels. Cela peut être réalisé dans un réseau sans fil ouvert en compromettant un routeur ou un point d'accès, ou en ouvrant à chacun l'accès à son propre point d'accès configuré correctement.

Il n'est pas nécessaire de compromettre le propre réseau du PC attaqué, car le système utilisera WPAD pour détecter les proxys s'il est connecté sur un réseau sans fil ouvert. Dans le même temps, WPAD est également utilisé dans les environnements d'entreprise; cette option est activée par défaut sur tous les PC Windows, comme mentionné ci-dessus.

Son propre serveur proxy permet aux attaquants d'intercepter et de modifier le trafic HTTP non chiffré. Cela ne donne pas trop aux cybercriminels, car la plupart des sites fonctionnent désormais sur HTTPS (HTTP Secure). Mais, puisque les fichiers PAC offrent la possibilité de définir différentes adresses proxy pour des adresses Web spécifiques et que vous pouvez forcer une recherche DNS pour ces adresses, les pirates «haters» ont créé un script qui vous permet d'obtenir toutes les URL HTTPS protégées sur votre propre serveur.

L'URL HTTPS complète doit être masquée car elle contient des jetons d'authentification et d'autres informations privées. Mais un attaquant peut récupérer l'adresse. Par exemple, example.com/login?authtoken=ABC1234 peut être récupéré à l'aide de la requête DNS https.example.com.login.authtoken.ABC1234.leak et récupéré sur le serveur cybercriminel.

En utilisant cette méthode, l'attaquant peut obtenir une liste des requêtes de recherche de la victime ou voir quels articles d'une ressource particulière la victime lit actuellement. Ce n'est pas trop bon en termes de sécurité de l'information, mais cela ne semble pas trop dangereux. Certes, les problèmes de la victime ne s'arrêtent pas là.

Les chercheurs ont développé un autre type d'attaque qui peut être utilisé pour rediriger l'utilisateur d'un point d'accès sans fil ouvert vers la fausse page du point d'accès. De nombreux réseaux sans fil collectent des données utilisateur à l'aide de pages spéciales. Après avoir entré ses données, l'utilisateur a accès à Internet (souvent un tel système est utilisé par les fournisseurs de services sans fil dans les aéroports).

La page, formée de cybercriminels, charge Facebook ou Google familier à l'utilisateur en arrière-plan, puis effectue une redirection 302 HTTP vers d'autres URL, à condition que l'utilisateur soit authentifié. Si l'utilisateur s'est déjà connecté à son compte et que la plupart des gens ne se déconnectent pas de leur compte sur diverses ressources, en travaillant depuis leur PC ou ordinateur portable, le fraudeur peut obtenir l'identité de la victime.


Sous Windows OS, WPAD est activé lorsque l'option "Détecter automatiquement les paramètres" est activée. Cette option est activée par défaut.

Elle s’applique aux comptes sur diverses ressources et, grâce à des liens directs, l’attaquant peut accéder aux photos personnelles de la victime, ainsi qu’à d’autres données. Les attaquants peuvent également voler des jetons pour le protocole OAuth populaire, qui vous permet de vous connecter à divers sites à l'aide de votre compte Facebook, Google ou Twitter.

Des spécialistes ont montré les capacités de la nouvelle méthode sur Defcon. Grâce à leur technologie, les experts ont eu accès à la photo de la victime, à l'historique des coordonnées, aux rappels de calendrier et aux données de profil de compte Google, ainsi qu'à l'accès à tous les documents de la victime sur Google Drive. Il convient de souligner ici que l'attaque n'affecte pas le cryptage HTTPS, les données sont toujours protégées. Mais si WPAD est inclus dans le système d'exploitation, le HTTPS est déjà beaucoup moins efficace en termes de protection des données des utilisateurs privés. Et cela s'applique également aux informations des utilisateurs qui travaillent avec VPN. WPAD vous permet également d'accéder à ces données.

Le fait est que les clients VPN populaires, tels que OpenVPN, n'effacent pas les paramètres réseau spécifiés par WPAD. Cela signifie que si l'attaquant a déjà réussi à installer ses paramètres de proxy sur le PC de la victime avant que la connexion VPN ne soit établie sur ce PC, le trafic passera également par le serveur proxy du proxy. Cela ouvre la possibilité d'obtenir toutes les données indiquées ci-dessus.

La plupart des systèmes d'exploitation et des navigateurs fonctionnent avec WPAD et sont vulnérables à ce type d'attaque. Les experts qui ont découvert le problème l'ont signalé aux développeurs de divers logiciels vulnérables. Correctifs publiés pour OS X, iOS, Apple TV, Android, Google Chrome. Microsoft et Mozilla travaillent toujours sur la résolution du problème.

Comment se protéger?

Le moyen le plus simple consiste à désactiver WPAD. Si vous avez besoin de fichiers PAC pour fonctionner, désactivez WPAD et configurez vous-même les exceptions d'URL.

Chapman et Stone ne sont pas les seuls experts en sécurité de l'information à avoir attiré l'attention sur la vulnérabilité du protocole WPAD. Quelques jours plus tôt, un type d'attaque similaire avait été démontré lors d'une conférence Black Hat. Et en mai, une équipe conjointe d'experts de Verisign et de l'Université du Michigan a révélé que des dizaines de millions de demandes WPAD sont mises en ligne chaque jour lorsque les ordinateurs portables des utilisateurs sont déconnectés des réseaux d'entreprise. Ces machines interrogent les domaines WPAD internes avec des extensions telles que .global, .ads, .group, .network, .dev, .office, .prod, .hsbc, .win, .world, .wan, .sap et .site .

Le problème est que de telles zones de domaine existent déjà dans le réseau mondial et, si vous le souhaitez, un attaquant peut enregistrer des domaines pour lesquels des demandes sont envoyées à partir de machines d'entreprise déconnectées du réseau d'entreprise. Et cela, à son tour, permet aux attaquants de «nourrir» des fichiers PAC auto-configurés vers des machines qui sont déconnectées des réseaux d'entreprise, mais qui donnent des requêtes WPAD pour détecter les adresses ci-dessus sur le réseau mondial.

Source: https://habr.com/ru/post/fr396719/