The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.05.2016 10:43  Проблемы с безопасностью при использовании протокола автоматической настройки прокси WPAD

Организация US-CERT опубликовала предупреждение о возможном совершении новых MITM-атак с использованием протокла WPAD (Web Proxy Autodiscovery Protocol), применяемого для автоматической настройки работы через прокси-сервер. WPAD поддерживается в большинстве web-браузеров и обычно применяется в корпоративной среде для организации подключения устройств через локальный прокси.

Проблема возникла после введения организацией ICANN новой программы регистрации доменных имён первого уровня (gTLD), позволяющей атакующему зарегистрировать свой домен первого уровня, совпадающий с доменом, применяемым во внутренней сети компании. В дальнейшем данный домен может быть использован для перенаправления пользователей на подконтрольный атакующему прокси (например, когда с ноутбука, настроенного на получение конфигурации WPAD, осуществляется выход в интернет не из корпоративной сети).

  1. Главная ссылка к новости (https://www.us-cert.gov/ncas/a...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: wpad, proxy, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, AnotherReality, 11:10, 24/05/2016 [ответить] [смотреть все]
  • +3 +/
    wpad изначально была не секурной? не?
     
     
  • 2.6, Аноним, 15:43, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    А толку от секурности Ну устанавливалось бы там защищённое соединение, атака-то... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Аноним, 11:18, 24/05/2016 [ответить] [смотреть все]  
  • –1 +/
    Звучит как кусочек Systemd для реализации шифрования Wi-Fi
     
     
  • 2.17, Аноним, 18:24, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вот и выросло поколение, не понимающее значения буквы d?
     
     
  • 3.23, Аноним, 07:30, 25/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Не, выросло поколение без чувства юмора.
     
  • 1.3, sage, 11:20, 24/05/2016 [ответить] [смотреть все]  
  • +2 +/
    Год назад уже делали, ну
    https://habrahabr.ru/company/mailru/blog/259521/

    Мои друзья тоже нарегистрировали себе доменов, wpad.school получает довольно много хостов в сутки.

     
  • 1.4, Аноним, 14:08, 24/05/2016 [ответить] [смотреть все]  
  • +1 +/
    применительно к корпоративной сети звучит как чепуха, а вот в кафешках может и п... весь текст скрыт [показать]
     
     
  • 2.5, sage, 14:50, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Для кафешек, применительно к Windows, вы и так могли подсунуть WPAD через NetBio... весь текст скрыт [показать] [показать ветку]
     
  • 2.8, DmA, 15:45, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    в корпоративной сетичасто не бывает собственного днс сервера ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, _, 17:43, 24/05/2016 [^] [ответить] [смотреть все]  
  • +/
    эээ ... мнэиааа ... НО КАК?!?!? 8-о  (С) Доктор Ватсон
     
     
  • 4.18, нах, 18:31, 24/05/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    банально - 8 8 8 8 У сильно продвинутых еще и 4 4 И таких, прости Г-ди корпор... весь текст скрыт [показать]
     
     
  • 5.19, Аноним, 20:13, 24/05/2016 [^] [ответить] [смотреть все]  
  • +5 +/
    так это го⁠вно, а не корпоративная сеть, ты не путай
     
  • 2.12, DmA, 16:09, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну почему же чепуха Я меняю имя своего компьютера на wpad и ввожу его в домен, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Аноним, 00:16, 25/05/2016 [^] [ответить] [смотреть все]  
  • +/
    корпорация монстров какая-то, в которой админ бессмысленно и беспощадно подделыв... весь текст скрыт [показать]
     
     
  • 4.24, Аноним, 07:34, 25/05/2016 [^] [ответить] [смотреть все]  
  • +/
    Они сами напросились!
    Это же чистой воды bofh.
     
  • 4.27, DmA, 20:05, 26/05/2016 [^] [ответить] [смотреть все]  
  • +/
    не все корпоративные сети заточены под AD, но DDNS может быть Либо тот-же AD с ... весь текст скрыт [показать]
     
  • 1.7, DmA, 15:45, 24/05/2016 [ответить] [смотреть все]  
  • +/
    Я тут пару месяцев назад баловался  включением в Windows блокировки по умолчанию для всех исходящих соединений и выключал при этом все правила в этих исходящих соединениях. Так вот эта зараза тупо стратовала всё равно и генерировала запросы к dns серверу сообщая за одно имя этого компьютера! Если ваш комп называется andrey , то генерируются dns- запросы вида wpad.andrey. Так что службу "автоматического обнаружения прокси" нужно обязательно отключать! А в качестве ДНС сервера лучше установить свой, тот же unbound например , занимает в памяти около 5 мегабайт всего. Установка  и настройка unbound (настройка сводится к прописыванию в качестве днс сервера ip с адресом 127.0.0.1) занимает полминуты, весит он 6 мегабайт.
     
     
  • 2.10, Аноним, 15:50, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Осталось лишь придумать вымышленную реальность, в которой злоумышленник покупает... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, DmA, 16:19, 24/05/2016 [^] [ответить] [смотреть все]  
  • +/
    а зачем покупать такое днс имя провайдеру Ваш компьютер запросит днс имя wpad ... весь текст скрыт [показать]
     
     
  • 4.14, DmA, 16:34, 24/05/2016 [^] [ответить] [смотреть все]  
  • +/
    а ещё больше информации у публичных днс серверов типа гугла(8.8.8.8) и яндекса(77.88.8.8), они даже не провайдеры, а будут видеть ваше имя компьютера, что wpad.vasyapupkin то с такого ip вышел, то с такого и могут его однозначно идентифицировать!
    Есть ещё один публичный днс сервер, который заставляют в  российских школах использовать, якобы для фильтрации 198.19.255.9 и зеркало 198.19.255.10(это похоже внутренняя сеть ростелекома из диапазона тестирования производительности 198.18.0.0/15)
    Так что используйте публичные днс сервера, только под страхом смертной казни!
     
  • 4.25, vdb, 16:05, 25/05/2016 [^] [ответить] [смотреть все]  
  • +/
    > …достаточно уникальное…

    Немножко беременный?

     
  • 1.9, Аноним, 15:47, 24/05/2016 [ответить] [смотреть все]  
  • +/
    В качестве костыля можно запретить использование доменов wpad То есть, чтобы ... весь текст скрыт [показать]
     
  • 1.11, DmA, 15:54, 24/05/2016 [ответить] [смотреть все]  
  • +/
    Кроме wpad ещё нужно запрещать ISATAP . Вот документ Микрософт "DNS Server Global Query Block List" где перечислены имена, которые должны быть заблокированы на DNS сервере организации, если не используются!  
     
     
  • 2.15, DmA, 16:37, 24/05/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Кроме wpad ещё нужно запрещать ISATAP . Вот документ Микрософт "DNS Server
    > Global Query Block List" где перечислены имена, которые должны быть заблокированы
    > на DNS сервере организации, если не используются!

    Ещё бы и автодобавление  к имени www в начале и com конце несуществующего адреса отключить!
    И ещё включать выход в интернет днс-клиенту лучше, только после того как браузер запустился!

     
  • 1.20, CHERTS, 20:58, 24/05/2016 [ответить] [смотреть все]  
  • +1 +/
    в Win2008Srv и Win2012Srv имена wpad и isatap по-умолчанию заблочены на DNS, см.
    dnscmd /info /enableglobalqueryblocklist
    и
    dnscmd /info /globalqueryblocklist
     
  • 1.21, Аноним, 21:28, 24/05/2016 [ответить] [смотреть все]  
  • +/
    или я чего не понимаю или новость из недалекого прошлого еще когда впервые разб... весь текст скрыт [показать]
     
  • 1.26, Аноним, 17:10, 26/05/2016 [ответить] [смотреть все]  
  • +/
    Это проблема недоумков из ICANN, при чем тут старая добрая грабля с WPAD И кста... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor