Sikkerhedseksperter: Slå automatisk proxy opdagelse fra nu!

Sikkerhedseksperter advarer nu mod ‘Web Proxy Auto-Discovery Protocol’ (WPAD), som er slået til som standard i Windows.

WPAD er en protokol, der lader computere på et netværk automatisk finde ud af, hvilken proxy-server de skal benytte til en URL. Det fungerer ved, at computeren henter en JavaScript-fil (PAC), der indeholder informationer om proxy-serveren og hvornår den skal bruges.

Selvom WPAD mest er anvendt i hos virksomheder, så er protokollen også slået til i ‘Home’-versioner af Windows.

Sikkerhedseksperter fra det britiske firma ‘Context Information Security’ kunne på den nyligt overståede ‘DEF CON’-konference vise, hvordan protokollen kan misbruges til såkaldte ‘man-in-the-middle’-angreb og omgå sikkerheden i både HTTPS og VPN.

Ved at inficere en computer med en PAC-fil, der sendte internettrafik gennem en proxy-server, som eksperterne kontrollerede, kunne de få computeren til at prøve at tilgå sider, som kræver login.

Hvis brugeren allerede var godkendt i en session på siden – og de fleste har en eller flere aktive, godkendte sessions – så kunne sikkerhedseksperterne få en masse informationer på brugerne, og i kombination med andre teknikker kunne de få adgang til brugernes konti.

Eksperterne demonstrerede, hvordan de på den måde kunne få adgang til billeder, locationshistorik, e-mail oversigt og alle dokumenter i en Google Drive for en bruger – vel at mærke uden at bryde krypteringen i HTTPS.

Eksperterne viste også, at en række VPN-klienter ikke rydder de proxy-indstillinger, som er sat via WPAD. Dermed vil en inficeret computer stadigvæk sende trafik igennem den ondsindede proxy-server, selvom man bruger VPN.

Og selvom en computer altså skal inficeres med en PAC-fil, før angrebet kan finde sted, så viste forskere fra Verisign og University of Michigan i maj, hvordan over 20 millioner forespørgsler bliver sendt på det offentlige internet hver dag, særligt fra forretningscomputere, der leder efter interne domæner mens de er taget udenfor arbejdspladsen. Hvis den URL, computeren forsøger at tilgå fra det interne netværk, også findes på internettet, så kan hackere sende en inficeret PAC-fil og dermed angribe computeren.

På Windows kan WPAD slås fra under ’LAN settings’ i ‘Internet Options’ (png).