Организация US-CERT опубликовала (https://www.us-cert.gov/ncas/alerts/TA16-144A) предупреждение о возможном совершении новых MITM-атак с использованием протокла WPAD (https://ru.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol) (Web Proxy Autodiscovery Protocol), применяемого для автоматической настройки работы через прокси-сервер. WPAD поддерживается в большинстве web-браузеров и операционных систем, и обычно применяется в корпоративной среде для организации подключения устройств через локальный прокси.
Проблема возникла после введения (https://newgtlds.icann.org/en/about/program) организацией ICANN новой программы регистрации доменных имён первого уровня (gTLD), позволяющей атакующему зарегистрировать свой домен первого уровня, совпадающий с доменом, применяемым во внутренней сети компании. В дальнейшем данный домен может быть использован для перенаправления пользователей на подконтрольный атакующему прокси (например, когда с ноутбука, настроенного на получение конфигурации WPAD, осуществляется выход в интернет не из корпоративной сети).URL: https://www.us-cert.gov/ncas/alerts/TA16-144A
Новость: http://www.opennet.me/opennews/art.shtml?num=44480
wpad изначально была не секурной? не?
А толку от секурности? Ну устанавливалось бы там защищённое соединение, атака-то всё равно с помощью доменного имени. Если твоя операционка привыкла лазать на wpad.somеthing (который есть в корпоративной сети), то она полезет на него и вне сети. А вне сети этот wpad.somеthing уже управляется совсем не админом корпорации, а злоумышленником.
Звучит как кусочек Systemd для реализации шифрования Wi-Fi
Вот и выросло поколение, не понимающее значения буквы d?
Не, выросло поколение без чувства юмора.
Год назад уже делали, ну
https://habrahabr.ru/company/mailru/blog/259521/Мои друзья тоже нарегистрировали себе доменов, wpad.school получает довольно много хостов в сутки.
применительно к корпоративной сети звучит как чепуха, а вот в кафешках может и прокатить
Для кафешек, применительно к Windows, вы и так могли подсунуть WPAD через NetBios, причем прокси будет использоваться даже в том случае, если жертва подключилась к VPN.
> применительно к корпоративной сети звучит как чепуха, а вот в кафешках может
> и прокатитьв корпоративной сетичасто не бывает собственного днс сервера!
эээ ... мнэиааа ... НО КАК?!?!? 8-о (С) Доктор Ватсон
банально - 8.8.8.8
У сильно продвинутых еще и .4.4И таких, прости Г-ди "корпораций", к сожалению, пруд-пруди.
От размера, кстати, не зависит.
так это говно, а не корпоративная сеть, ты не путай
> применительно к корпоративной сети звучит как чепуха, а вот в кафешках может
> и прокатитьНу почему же чепуха? Я меняю имя своего компьютера на wpad и ввожу его в домен, и вот я могут управлять сетевыми настройками всех компьютеров домена. Пущу их все через прокси и выловлю, всё что мне надо...
корпорация монстров какая-то, в которой админ бессмысленно и беспощадно подделывает свою же проксю
Они сами напросились!
Это же чистой воды bofh.
не все корпоративные сети заточены под AD, но DDNS может быть! Либо тот-же AD с некоторыми продвинутыми пользователями с правами админов
Я тут пару месяцев назад баловался включением в Windows блокировки по умолчанию для всех исходящих соединений и выключал при этом все правила в этих исходящих соединениях. Так вот эта зараза тупо стратовала всё равно и генерировала запросы к dns серверу сообщая за одно имя этого компьютера! Если ваш комп называется andrey , то генерируются dns- запросы вида wpad.andrey. Так что службу "автоматического обнаружения прокси" нужно обязательно отключать! А в качестве ДНС сервера лучше установить свой, тот же unbound например , занимает в памяти около 5 мегабайт всего. Установка и настройка unbound (настройка сводится к прописыванию в качестве днс сервера ip с адресом 127.0.0.1) занимает полминуты, весит он 6 мегабайт.
Осталось лишь придумать вымышленную реальность, в которой злоумышленник покупает себе за много денег зону .andrey, чтобы поиметь всех Андреев планеты.Андрей, расслабьтесь, ради домашних Андреев (а внутри корпративных сетей вряд ли будет домен с таким именем) никто в здравом уме такие деньги отваливать не станет.
> Осталось лишь придумать вымышленную реальность, в которой злоумышленник покупает себе
> за много денег зону .andrey, чтобы поиметь всех Андреев планеты.
> Андрей, расслабьтесь, ради домашних Андреев (а внутри корпративных сетей вряд ли будет
> домен с таким именем) никто в здравом уме такие деньги отваливать
> не станет.а зачем покупать такое днс имя провайдеру? Ваш компьютер запросит днс имя wpad.anrrey, а провайдеру не нужно покупать какое-то имя, ему нужно будет вернуть ip из своег диапазона и сделать там поддельный сервер с настройками прокси.Ваш ИЕ,Хромме или фарефокс загрузит с этого левого севреар провайдера нужные настройки... Это один вариант событий.
А второй - я говорил о том,что если днс сервер у провайдера находится, то провайдер легко идентифицирует клиента по его имени компьютера. Последние версии виндовс обычно сами придумывают достаточно уникальное имя для компьютера.Так что такие запросы проходят при включении компьютера и позволют легко идентифицировать разные устройства, даже если они находятся за одним ip адресом.
Если провайдер увидит запросы с одного ip типа таких
wpad.zina
wpad.petr
wpad.ipad-lena
То он увидит и сколько устройств в доме и кто их владелец и статистику использования этих устройств!
а ещё больше информации у публичных днс серверов типа гугла(8.8.8.8) и яндекса(77.88.8.8), они даже не провайдеры, а будут видеть ваше имя компьютера, что wpad.vasyapupkin то с такого ip вышел, то с такого и могут его однозначно идентифицировать!
Есть ещё один публичный днс сервер, который заставляют в российских школах использовать, якобы для фильтрации 198.19.255.9 и зеркало 198.19.255.10(это похоже внутренняя сеть ростелекома из диапазона тестирования производительности 198.18.0.0/15)
Так что используйте публичные днс сервера, только под страхом смертной казни!
> …достаточно уникальное…Немножко беременный?
В качестве костыля можно запретить использование доменов "wpad". То есть, чтобы сайты вида "wpad.work" существовать не могли. Это не решит проблему корпораций, у которых в интранете домены вида "office.work", поскольку вредоносный адрес будет уже иметь поддомен (wpad.office.work), но лучше, чем ничего.
Кроме wpad ещё нужно запрещать ISATAP . Вот документ Микрософт "DNS Server Global Query Block List" где перечислены имена, которые должны быть заблокированы на DNS сервере организации, если не используются!
> Кроме wpad ещё нужно запрещать ISATAP . Вот документ Микрософт "DNS Server
> Global Query Block List" где перечислены имена, которые должны быть заблокированы
> на DNS сервере организации, если не используются!Ещё бы и автодобавление к имени www в начале и com конце несуществующего адреса отключить!
И ещё включать выход в интернет днс-клиенту лучше, только после того как браузер запустился!
в Win2008Srv и Win2012Srv имена wpad и isatap по-умолчанию заблочены на DNS, см.
dnscmd /info /enableglobalqueryblocklist
и
dnscmd /info /globalqueryblocklist
или я чего не понимаю или новость из недалекого прошлого. еще когда впервые разбирая логи шлюза и узнав о неизвестном мне wpad удосужился загуглить это слово, то одни из первых ссылок были как раз на данную проблему. а было это с год как назад
Это проблема недоумков из ICANN, при чем тут старая добрая грабля с WPAD?И кстати говоря, недоадминчики WPAD вовсю используют с проксированием, не умея настроить транспарентный прокси. Он же типа не нужен, нэ трэба, ёптыль.