Уязвимость в WPAD позволяет получать доступ к данным, защищенным при помощи HTTPS и VPN.

Уязвимость в WPAD позволяет получать доступ к данным, защищенным при помощи HTTPS и VPN. VPN, Wpad, Https, Уязвимость, Защита информации, Geektimes, Длиннопост

Web Proxy Auto-Discovery Protocol (WPAD) — это протокол автоматической настройки прокси, который используется клиентами (браузером) для определения места (URL) расположения конфигурационного файла с использованием технологий DHCP и/или DNS. При совершении запроса браузером вызывается функция FindProxyForURL из PAC-файла, куда передается URL и хост. Ожидаемый ответ — список прокси, через которые будет осуществляться выход на этот адрес.



WPAD включен по умолчанию в Windows, поддерживается он и другими операционными системами. Но этот протокол подвержен ряду уязвимостей, что показали специалисты по информационной безопасности Алекс Чапман (Alex Chapman) и Пол Стоун (Paul Stone) на Defcon. Злоумышленники, используя эти уязвимости, могут получить данные жертвы (история поиска, доступы к аккаунтам, фото, документы и т.п.), несмотря на HTTPS или VPS соединения. Тип атаки, который применяется в этом случае — man-in-the-middle.



Размещение конфигурационного PAC-файла можно определить с использованием Dynamic Host Configuration Protocol (DHCP), Domain Name System (DNS) или Link-Local Multicast Name Resolution (LLMNR). Киберпреступники при желании могут использовать уязвимость в WPAD, указав размещение специально сконфигурированного PAC-файла, который направит запрос браузера через прокси-серверы, находящиеся под контролем злоумышленников. Этого можно добиться в открытой беспроводной сети, скомпрометировав роутер или точку доступа, либо открыв для всех желающих доступ к собственной точке доступа, сконфигурированной должным образом.



Компрометировать собственную сеть атакуемого ПК не обязательно, поскольку система будет использовать WPAD для обнаружения прокси в случае подключения по открытой беспроводной сети. При этом WPAD используется и в корпоративном окружении, эта опция включена по умолчанию на всех Windows-ПК, как уже говорилось выше.



Собственный прокси-сервер позволяет злоумышленникам перехватывать и модифицировать незашифрованный HTTP-трафик. Это не дает слишком многое киберпреступникам, поскольку большинство сайтов сейчас работает по HTTPS (HTTP Secure). Но, поскольку PAC-файлы обеспечивают возможность задавать различные адреса прокси для определенных веб-адресов, и для этих адресов можно принудительно выставить DNS lookup, хакеры-«белошляпники» создали скрипт, который позволяет получать все защищенные HTTPS URL на собственный сервер.



Полный адрес HTTPS URL должны быть скрыт, поскольку он содержит токены аутентификации и другую частную информацию. Но злоумышленник может восстановить адрес. Например, example.com/login?authtoken=ABC1234 может быть восстановлен путем использования DNS-запроса https.example.com.login.authtoken.ABC1234.leak и восстановлен на сервере киберпреступника.



Используя такой метод, атакующий может получить список поисковых запросов жертвы или просмотреть, какие статьи определенного ресурса жертва сейчас читает. Это не слишком хорошо с точки зрения информационной безопасности, но вроде бы не слишком опасно. Правда, неприятности жертвы на этом и не заканчиваются.



Исследователи разработали еще один тип атаки, который может использоваться для перенаправления пользователя открытой беспроводной точки доступа на фейковую страницу точи доступа. Многие беспроводные сети собирают данные о пользователях при помощи специальных страниц. После ввода своих данных пользователь получает доступ к интернету (часто такая схема используется провайдерами беспроводной связи в аэропортах).



Страница, сформированная злоумышленниками, загружает в фоне привычные пользователю Facebook или Google, а затем выполняет 302 HTTP редирект на другие URL при условии аутентификации пользователя. Если пользователь уже вошел в свою учетную запись, а большинство людей не выходят из своих учетных записей на различных ресурсах, работая со своего ПК или ноутбука, то мошенник может получить идентификационные данные жертвы.

Уязвимость в WPAD позволяет получать доступ к данным, защищенным при помощи HTTPS и VPN. VPN, Wpad, Https, Уязвимость, Защита информации, Geektimes, Длиннопост
На ОС Windows WPAD активируется при включении опции «Автоматическое определение параметров». Эта опция включена по умолчанию

Это касается учетных записей на самых разных ресурсах, причем по прямым ссылкам злоумышленник может получить доступ к личным фото жертвы, равно, как и другим данным. Злоумышленники могут похищать и токены для популярного протокола OAuth, который позволяет логиниться на различных сайтах, используя данные своего Facebook, Google или Twitter аккаунта.



Возможности нового метода специалисты показали на Defcon. Используя свою технологию, эксперты получили доступ к фото жертвы, истории координат, напоминаниям календаря и данных профиля аккаунта Google, а также доступ ко всем документам жертвы на Google Drive. Здесь стоит подчеркнуть, что атака не затрагивает HTTPS-шифрование, данные по-прежнему защищены. Но если в ОС включен WPAD, то HTTPS уже гораздо менее эффективен в плане защиты приватных данных пользователя. И это также касается информации тех пользователей, кто работает c VPN. WPAD позволяет получить доступ и к этим данным.



Все дело в том, что популярные VPN-клиенты, вроде OpenVPN, не очищают сетевые настройки, заданные WPAD. Это означает, что если атакующему уже удалось установить на ПК жертвы свои настройки прокси, прежде, чем на этом ПК было установлено соединение с VPN, то трафик также будет идти через прокси-сервер злоумышленника. Это открывает возможность получения всех данных, указанных выше.



Большинство операционных систем и браузеров работают с WPAD, и являются уязвимыми к такому типу атаки. Эксперты, обнаружившие проблему, сообщили о ней разработчикам различных уязвимых программных продуктов. Патчи выпущены для OS X, iOS, Apple TV, Android, Google Chrome. Microsoft и Mozilla все еще работают над исправлением проблемы.

Как защититься?

Самый простой способ — отключить WPAD. Если вам нужны PAC -файлы для работы, отключите WPAD и сконфигурируйте исключения URL самостоятельно.



Чапман и Стоун — не единственные эксперты по информационной безопасности, кто обратил внимание на уязвимость протокола WPAD. Несколькими днями ранее схожий тип атаки был продемонстрирован на конференции Black Hat. А в мае объединенная команда специалистов Verisign и Мичиганского университета рассказала о том, что десятки миллионов WPAD-запросов идут в сети каждый день, когда ноутбуки пользователей отключаются от корпоративных сетей. Эти машины дают запросы на внутренние WPAD домены с расширениями типа .global, .ads, .group, .network, .dev, .office, .prod, .hsbc, .win, .world, .wan, .sap, and .site.



Проблема в том, что такие доменные зоны уже существуют в глобальной сети, и при желании злоумышленник может зарегистрировать себе домены, на который идут запросы с корпоративных машин, отключенных от сети предприятия. А это, в свою очередь, позволяет злоумышленникам «скормить» самостоятельно сконфигурированных PAC-файл машинам, которые отключены от корпоративных сетей, но которые дают WPAD запросы на обнаружение упомянутых выше адресов в глобальной сети.

Источник: https://geektimes.ru/post/279472/

Информационная безопасность IT

1.4K постов25.5K подписчиков

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

3
Автор поста оценил этот комментарий

Это не уязвимость. Без ведома администратора DNS и DHCP сервисов нельзя указан произвольный WPAD. А если администратор захочет ваш трафик прослушать, но это сделает прекрасно и без прокси.

раскрыть ветку
Автор поста оценил этот комментарий

Зачем такие вещи вобще включены по-умолчанию? В винде столько бесполезных для большинства пользователя служб, что можно потратить несколько дней в попытках их поотключать. А если не отключать, то неизвестно какие еще дыры там обнаружат.

Интерфейс настроек тоже совершенно идиотский. Сейчас не знаю, но раньше, чтобы поменять глобальные настройки прокси, нужно было заходить в меню настроек IE и блуждать там по вкладкам. Вроде тоже самое можно было открыть из панели управления, но там все равно куча настроек, которые относились именно к IE. Дичь.

Автор поста оценил этот комментарий

Судя по скринам Xp и Vista?


Где милениум?

Автор поста оценил этот комментарий

как все сложно и долго, кто захочет и так эти данные получит с помощью варшарка того же