禁用WPAD现在或让您的帐户和私人数据受到损害
Web代理自动发现协议(WPAD)默认在Windows上启用并由其他操作系统支持,可以公开计算机用户“在线帐户,网络搜索和其他私人数据,安全研究人员警告。
中间人的攻击者可以滥用WPAD协议来劫持人们的在线账户,并窃取他们在英国的加密HTTPS或VPN连接上的网站,参加英国的上下文的研究人员,即使他们访问过加密的HTTPS或VPN连接信息安全,本周在DEF Con安全会议期间。
WPAD是一项协议,由Microsoft和其他技术公司的人员于1999年开发,允许计算机自动发现他们应该使用的Web代理。代理在称为代理自动配置(PAC)文件的JavaScript文件中定义。
PAC文件的位置可以通过WPAD通过多种方式发现:通过特殊的动态主机配置协议(DHCP)选项,通过本地域名系统(DNS)查找,或通过链接 - 本地组播名称解析(LLMNR)。
攻击者可以使用PAC文件滥用这些选项以在本地网络上提供计算机,该PAC文件指定其控制下的流氓Web代理。这可以在开放的无线网络上完成,或者攻击者会损害路由器或接入点。
妥协计算机原始网络是可选的,因为计算机仍将尝试使用WPAD进行代理发现,当他们删除外面并连接到其他网络,如公共无线热点。即使WPAD大多用于公司环境中,它也会在所有Windows计算机上默认启用,即使是运行Home Editions的所有Windows计算机)。
卢西安康斯坦丁在Windows上,当在此配置面板中选中“自动检测设置”选项时使用WPAD。
Rogue Web代理将允许攻击者拦截和修改非加密的HTTP流量,这通常是一个大不了的大不协交易,因为今天大多数主要网站使用HTTPS(HTTP安全)。
但是,由于PAC文件允许为特定URL定义不同的代理,并且还可以强制DNS查找为这些URL,Chapman和Stone创建了一个脚本,它通过DNS查找将所有HTTPS URL泄漏到他们控件的Rogue Server。
完整的HTTPS URL应该隐藏,因为它们可以包含身份验证令牌和其他敏感数据作为参数。例如,URL https://example.com/login? authtoken=abc1234可以通过对https.example.com.login.authtoken.abc1234.leak的DNS请求泄露并在攻击者的服务器上重建。
研究人员表明,通过使用此基于PAC的HTTPS URL泄漏方法,攻击者可以窃取Google搜索术语或查看用户在维基百科查看了哪些文章。从隐私角度来看,这是不好的,但WPAD和Rogue PAC文件引入的风险就不会结束。
研究人员还设计了另一个攻击,在那里他们使用流氓代理将用户重定向到虚假的俘虏门户页面,例如许多无线网络使用的页面,以便在允许上网之前收集有关用户的信息。
他们的假俘虏门户部队强制浏览器在背景中加载像Facebook或Google等常用网站,然后执行302 HTTP重定向到URL,只能在用户验证后访问。如果用户已被认证 - 大多数人都在其浏览器中有经过身份验证的会话 - 攻击者将能够从其帐户中收集信息。
此攻击可能会使受害者“在各种网站上的帐户名称,包括可以通过直接链接访问的帐户的私人照片。例如,Facebook上的人们的私人照片实际上托管在网站的内容交付网络上,如果他们知道在CDN上的完整URL,其他用户可以直接访问。
此外,攻击者可以为流行的OAuth协议窃取身份验证令牌,这允许用户使用他们的Facebook,Google或Twitter帐户登录第三方网站。通过使用Rogue Proxy,302重定向和浏览器的页面预渲染功能,他们可以劫持社交媒体帐户,并且在某些情况下会获得完全访问它们。
在一个演示中,研究人员展示了他们如何窃取Google帐户的照片,位置历史,电子邮件摘要,提醒以及该用户在Google Drive中托管的所有文档。
值得注意的是,这些攻击不会以任何方式打破HTTPS加密,而是解决它的工作,并利用网络和浏览器的工作方式。他们表明,如果打开WPAD,则在保护敏感信息时,HTTPS比以前认为的敏感信息要效益得多。
但是,在连接到公共或不受信任的网络时,使用虚拟私有网络(VPN)加密整个Internet流量的人呢?显然,WPAD也打破了那些联系。
这两个研究人员展示了一些广泛使用的VPN客户端,如OpenVPN,不清楚通过WPAD设置的Internet代理设置。这意味着如果攻击者通过恶意PAC毒害计算机的代理设置,请在该计算机连接到VPN之前,其流量仍将通过VPN后通过恶意代理路由。这使得可以实现上述所有攻击。
当研究人员在今年早些时候发现这些问题时,大多数操作系统和浏览器都有易受攻击的WPAD实现,但默认情况下只有Windows启用WPAD。
从那以后,修补程序已被释放为OS X,iOS,Apple TV,Android和Google Chrome。微软和Mozilla仍在截至周日的补丁。
研究人员推荐计算机用户禁用协议。“不认真,关掉WPAD!”其中一个演示文稿幻灯片说。“如果您仍然需要使用PAC文件,请关闭WPAD并突出PAC脚本的显式URL;并通过HTTPS或来自本地文件。”
查普曼和石头不是唯一突出WPAD突出安全风险的研究人员。在演讲前几天,另外两位名叫Itzik Kotler和Amit Klein的研究人员独立地显示了通过恶意PACS在黑帽安全会议的演示文稿中显示出相同的HTTPS URL泄漏。第三次研究员Maxim Goncharov举办了一个关于WPAD安全风险的单独的黑帽子,题为Badwpad。
5月,来自VeriSign和密歇根大学的研究人员表明,每天在企业网络之外,每天一天都会要求数千万个WPAD在互联网上泄漏。这些计算机正在寻找内部WPAD域,该域以扩展为止.Global,.ads,.group,.group,.dev,.office,.prod,.hsbc,.win,.world,.wan,.sap和。地点。
问题是一些这些域扩展已成为公共通用TLD,并且可以在互联网上注册。这可能允许攻击者劫持WPAD请求并将Rogue PAC文件推到计算机,即使它们与它们不在同一网络上。