WPAD中的漏洞可能允许访问使用HTTPS和VPN保护的数据

研究人员建议在Windows上紧急禁用WPAD

Web代理自动发现协议（WPAD）是一种代理自动配置协议，客户端（浏览器）使用该协议来使用DHCP和/或DNS技术确定配置文件的位置（URL）。发出请求时，浏览器从PAC文件中调用FindProxyForURL函数，并在其中传输URL和主机。期望的答案是代理列表，通过该列表可以访问该地址。

WPAD在Windows上默认为启用，并且受其他操作系统支持。但是，此协议存在许多漏洞，如下所示Defcon的信息安全专家Alex Chapman和Paul Stone。尽管使用HTTPS或VPS连接，使用这些漏洞的攻击者仍可以获取受害者数据（搜索历史，对帐户，照片，文档等的访问）。在这种情况下使用的攻击类型是中间人。

可以使用动态主机配置协议（DHCP），域名系统（DNS）或链接本地多播名称解析（LLMNR）确定PAC配置文件的位置。如果需要，网络罪犯可以通过指定特殊配置的PAC文件的位置来利用WPAD中的漏洞，该文件将通过网络罪犯控制的代理服务器发送浏览器请求。这可以在开放的无线网络中通过破坏路由器或接入点，或者向所有人开放对正确配置的自己的接入点的访问来实现。

如果系统通过开放式无线网络连接，则系统将使用WPAD来检测代理，因此不必破坏受攻击PC的自身网络。同时，WPAD也用在公司环境中；如上所述，默认情况下在所有Windows PC上启用此选项。

自己的代理服务器允许攻击者拦截和修改未加密的HTTP通信。由于大多数站点现在都在HTTPS（HTTP Secure）上运行，因此这对网络犯罪分子并不过分。但是，由于PAC文件可以为特定的Web地址设置不同的代理地址，并且您可以强制对这些地址进行DNS查找，因此“讨厌的人”黑客创建了一个脚本，该脚本可让您将所有受保护的HTTPS URL都发送到您自己的服务器。

完整的HTTPS URL必须隐藏，因为它包含身份验证令牌和其他私有信息。但是攻击者可以恢复该地址。例如，可以使用DNS查询https.example.com.login.authtoken.ABC1234.leak恢复example.com/login?authtoken=ABC1234，并在网络犯罪服务器上对其进行恢复。

使用此方法，攻击者可以获得受害者的搜索查询列表，或者查看受害者当前正在阅读的特定资源的哪些文章。就信息安全而言，这不太好，但是似乎不太危险。没错，受害者的麻烦并没有就此结束。

研究人员已经开发出另一种类型的攻击，可用于将打开的无线访问点的用户重定向到访问点的伪造页面。许多无线网络使用特殊页面收集用户数据。输入数据后，用户可以访问Internet（机场的无线提供商通常使用这种方案）。

该网页由网络犯罪分子组成，在后台加载用户熟悉的Facebook或Google，然后执行302 HTTP重定向到其他URL（前提是该用户已通过身份验证）。如果用户已经登录了自己的帐户，并且大多数人没有通过PC或笔记本电脑使用各种资源注销其帐户，那么欺诈者就可以获取受害者的身份。


在Windows操作系统上，启用“自动检测设置”选项时，将激活WPAD。默认情况下，此选项

处于启用状态，适用于使用多种资源的帐户，并且通过直接链接，攻击者可以访问受害者的个人照片以及其他数据。攻击者还可以窃取流行的OAuth协议的令牌，该协议使您可以使用Facebook，Google或Twitter帐户登录各种站点。

专家们在Defcon上展示了新方法的功能。借助他们的技术，专家可以访问受害者的照片，协调历史记录，日历提醒和Google帐户个人资料数据，还可以访问受害者在Google云端硬盘上的所有文档。这里值得强调的是，该攻击不会影响HTTPS加密，但数据仍然受到保护。但是，如果WPAD包含在操作系统中，则HTTPS在保护私有用户数据方面的效力已经大大降低。这也适用于使用VPN的那些用户的信息。 WPAD还允许您访问此数据。

问题是流行的VPN客户端（例如OpenVPN）不会清除WPAD指定的网络设置。这意味着，如果攻击者在此PC上建立VPN连接之前已经设法在受害者的PC上安装了代理设置，那么流量也将通过该代理的代理服务器。这打开了获得上述所有数据的可能性。

大多数操作系统和浏览器都可与WPAD一起使用，并且容易受到此类攻击。发现该问题的专家已将其报告给各种易受攻击的软件产品的开发人员。针对OS X，iOS，Apple TV，Android，Google Chrome发布的补丁。Microsoft和Mozilla仍在努力解决此问题。

如何保护自己？

最简单的方法是禁用WPAD。如果您需要PAC文件才能工作，请禁用WPAD并自行配置URL例外。

查普曼和斯通并不是唯一强调WPAD协议漏洞的信息安全专家。几天前，在Black Hat会议上还演示了类似的攻击。五月份，威瑞信专家与密歇根大学的联合团队透露，当用户的笔记本电脑与公司网络断开连接时，每天有数千万个WPAD请求上线。这些计算机使用扩展名查询内部WPAD域，例如.global，.ads，.group，.network，.dev，.office，.prod，.hsbc，.win，.world，.wan，.sap和.site。 。

问题是这样的域区域已经存在于全局网络中，并且如果需要，攻击者可以注册从与企业网络断开连接的公司机器发送请求的域。这样一来，攻击者就可以将自配置的PAC文件“馈送”到与公司网络断开连接的计算机上，但这些计算机发出WPAD请求以检测全局网络上的上述地址。

Source: https://habr.com/ru/post/zh-CN396719/