禁用WPAD现在或让您的帐户和私人数据受到损害
AI领导人呼吁停止自主武器的发展
框使用谷歌的AI支持企业的图像识别
EE修复2G频谱以支持扩展的4G移动服务
大多数英国议会受到网络攻击的影响
松下的新型4K摄像机在低光方面做得更好
三分之二的英国企业采用了金融气
Sadiq Khan的未派遣球队在伦敦解决数字连接
铜缆死亡:英特尔转向光线,以便快速数据传输
菲亚特加入宝马的自治车平台倡议
苏格拉勒测试“世界上最快”的列车Wi-Fi服务
技术如何在海湾地区转变医疗保健
Bristol主机成功测试5G移动边缘计算
Yodlee通过上下文数据提高金融交易
阿联酋电信推动萨斯在中东采用
微软推出了它的热情
慈善群体与新移动应用程序的环境数据
Informatica CEO:'数据安全是一个未解决的问题'
Tegile推出NVME Intelliflash N系列并由WD购买
Veritas占据数据管理播放
Philip Hammond:AI将在政府中造成生产力
大数据薪水设定为2017年上升
百度来测试加利福尼亚州的自治车辆
弥撒的新法。试图提高妇女支付
天空中的覆盆子pi:如何构建这个令人敬畏的115美元飞机跟踪器
迪拜土地部门推出互动应用
HMRC承认受儿童保育网站问题影响的2,600名父母
调查显示,中小企业比以往任何时候都更容易受到网络攻击
埃森哲向苏塞克斯警方提供视频启用的正义
政府削减网络基础设施推出的成本
Box通过IBM与IBM合作开展新的继电器工作流程工具
HPE在AI上投注大量,以推动您的应用和分析
伦敦问题呼吁武器到网络安全社区
期待今年苹果'回到Mac'活动
罗马尼亚黑客Guccifer在美国监狱判处52个月
患者将通过APP访问NHS服务于2018年底
丢失和被盗的设备占金融服务部门的4个违规行业
爆炸星系注释7总家庭吉普车
尽管它在IT系统上花费了750米,但消费者不知道银行账户交换服务
傀儡对为什么人,过程和技术是对Devops成功的关键任务
John McAfee的公司可以破坏英特尔新创业派对
展望中断:Microsoft拒绝负载平衡故障的欧洲Hotmail停机时间
一个新的算法可以隐藏您最喜欢的舞蹈音乐中的消息
Facebook,谷歌,Twitter Lax在恐怖主义者滥用其网站上,英国国会议员说
芬兰的Valmet用€38M外包交易转换
惠普在英特尔的Kaby湖和阿波罗湖筹码中泄露一些细节
加拿大 - 欧盟反恐数据交换是非法的,说欧盟欧盟
企业IT Pers将在2018年在云中看到大多数工作负载
英国陆军提高了数据驱动的决策,使得坚定的流失
英特尔为3D XPoint SSD和内存铺平了方式,以在AMD PC上工作
您的位置:首页 >产品 > 人工智能 >

禁用WPAD现在或让您的帐户和私人数据受到损害

2021-07-18 14:44:02 [来源]:

Web代理自动发现协议(WPAD)默认在Windows上启用并由其他操作系统支持,可以公开计算机用户“在线帐户,网络搜索和其他私人数据,安全研究人员警告。

中间人的攻击者可以滥用WPAD协议来劫持人们的在线账户,并窃取他们在英国的加密HTTPS或VPN连接上的网站,参加英国的上下文的研究人员,即使他们访问过加密的HTTPS或VPN连接信息安全,本周在DEF Con安全会议期间。

WPAD是一项协议,由Microsoft和其他技术公司的人员于1999年开发,允许计算机自动发现他们应该使用的Web代理。代理在称为代理自动配置(PAC)文件的JavaScript文件中定义。

PAC文件的位置可以通过WPAD通过多种方式发现:通过特殊的动态主机配置协议(DHCP)选项,通过本地域名系统(DNS)查找,或通过链接 - 本地组播名称解析(LLMNR)。

攻击者可以使用PAC文件滥用这些选项以在本地网络上提供计算机,该PAC文件指定其控制下的流氓Web代理。这可以在开放的无线网络上完成,或者攻击者会损害路由器或接入点。

妥协计算机原始网络是可选的,因为计算机仍将尝试使用WPAD进行代理发现,当他们删除外面并连接到其他网络,如公共无线热点。即使WPAD大多用于公司环境中,它也会在所有Windows计算机上默认启用,即使是运行Home Editions的所有Windows计算机)。

卢西安康斯坦丁

在Windows上,当在此配置面板中选中“自动检测设置”选项时使用WPAD。

Rogue Web代理将允许攻击者拦截和修改非加密的HTTP流量,这通常是一个大不了的大不协交易,因为今天大多数主要网站使用HTTPS(HTTP安全)。

但是,由于PAC文件允许为特定URL定义不同的代理,并且还可以强制DNS查找为这些URL,Chapman和Stone创建了一个脚本,它通过DNS查找将所有HTTPS URL泄漏到他们控件的Rogue Server。

完整的HTTPS URL应该隐藏,因为它们可以包含身份验证令牌和其他敏感数据作为参数。例如,URL https://example.com/login? authtoken=abc1234可以通过对https.example.com.login.authtoken.abc1234.leak的DNS请求泄露并在攻击者的服务器上重建。

研究人员表明,通过使用此基于PAC的HTTPS URL泄漏方法,攻击者可以窃取Google搜索术语或查看用户在维基百科查看了哪些文章。从隐私角度来看,这是不好的,但WPAD和Rogue PAC文件引入的风险就不会结束。

研究人员还设计了另一个攻击,在那里他们使用流氓代理将用户重定向到虚假的俘虏门户页面,例如许多无线网络使用的页面,以便在允许上网之前收集有关用户的信息。

他们的假俘虏门户部队强制浏览器在背景中加载像Facebook或Google等常用网站,然后执行302 HTTP重定向到URL,只能在用户验证后访问。如果用户已被认证 - 大多数人都在其浏览器中有经过身份验证的会话 - 攻击者将能够从其帐户中收集信息。

此攻击可能会使受害者“在各种网站上的帐户名称,包括可以通过直接链接访问的帐户的私人照片。例如,Facebook上的人们的私人照片实际上托管在网站的内容交付网络上,如果他们知道在CDN上的完整URL,其他用户可以直接访问。

此外,攻击者可以为流行的OAuth协议窃取身份验证令牌,这允许用户使用他们的Facebook,Google或Twitter帐户登录第三方网站。通过使用Rogue Proxy,302重定向和浏览器的页面预渲染功能,他们可以劫持社交媒体帐户,并且在某些情况下会获得完全访问它们。

在一个演示中,研究人员展示了他们如何窃取Google帐户的照片,位置历史,电子邮件摘要,提醒以及该用户在Google Drive中托管的所有文档。

值得注意的是,这些攻击不会以任何方式打破HTTPS加密,而是解决它的工作,并利用网络和浏览器的工作方式。他们表明,如果打开WPAD,则在保护敏感信息时,HTTPS比以前认为的敏感信息要效益得多。

但是,在连接到公共或不受信任的网络时,使用虚拟私有网络(VPN)加密整个Internet流量的人呢?显然,WPAD也打破了那些联系。

这两个研究人员展示了一些广泛使用的VPN客户端,如OpenVPN,不清楚通过WPAD设置的Internet代理设置。这意味着如果攻击者通过恶意PAC毒害计算机的代理设置,请在该计算机连接到VPN之前,其流量仍将通过VPN后通过恶意代理路由。这使得可以实现上述所有攻击。

当研究人员在今年早些时候发现这些问题时,大多数操作系统和浏览器都有易受攻击的WPAD实现,但默认情况下只有Windows启用WPAD。

从那以后,修补程序已被释放为OS X,iOS,Apple TV,Android和Google Chrome。微软和Mozilla仍在截至周日的补丁。

研究人员推荐计算机用户禁用协议。“不认真,关掉WPAD!”其中一个演示文稿幻灯片说。“如果您仍然需要使用PAC文件,请关闭WPAD并突出PAC脚本的显式URL;并通过HTTPS或来自本地文件。”

查普曼和石头不是唯一突出WPAD突出安全风险的研究人员。在演讲前几天,另外两位名叫Itzik Kotler和Amit Klein的研究人员独立地显示了通过恶意PACS在黑帽安全会议的演示文稿中显示出相同的HTTPS URL泄漏。第三次研究员Maxim Goncharov举办了一个关于WPAD安全风险的单独的黑帽子,题为Badwpad。

5月,来自VeriSign和密歇根大学的研究人员表明,每天在企业网络之外,每天一天都会要求数千万个WPAD在互联网上泄漏。这些计算机正在寻找内部WPAD域,该域以扩展为止.Global,.ads,.group,.group,.dev,.office,.prod,.hsbc,.win,.world,.wan,.sap和。地点。

问题是一些这些域扩展已成为公共通用TLD,并且可以在互联网上注册。这可能允许攻击者劫持WPAD请求并将Rogue PAC文件推到计算机,即使它们与它们不在同一网络上。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。