image

VS waarschuwt bedrijven voor gevaar van WPAD-protocol

dinsdag 24 mei 2016, 12:05 door Redactie, 7 reacties

Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) heeft een waarschuwing afgegeven voor een beveiligingsrisico dat door gebruik van het WPAD-protocol kan ontstaan en waardoor met name gebruikers van Windows en Internet Explorer risico lopen.

WPAD staat voor Web Proxy Auto-Discovery en laat computers binnen een organisatie dezelfde webproxyconfiguratie gebruiken. In plaats van het individueel configureren van elke computer die met het netwerk verbinding maakt, vindt WPAD het proxyconfiguratiebestand en past deze configuratie automatisch toe. WPAD staat standaard op Windows en Internet Explorer ingeschakeld. Mac OS X en Linux alsmede Chrome, Firefox en Safari ondersteunen WPAD wel, maar het protocol staat hier niet standaard ingeschakeld.

Het kan echter voorkomen dat verzoeken van WPAD bedoeld voor de dns-servers van een bedrijf bij publieke dns-servers terechtkomen. In de huidige situatie vormen gelekte dns-verzoeken nu systematische kwetsbaarheden, aangezien het nieuwe generieke top level domein (gTLD) in het wereldwijd Domain Name System (dns) beschikbaar wordt, zo stelt internetbedrijf Verisign. De gelekte WPAD-verzoeken kunnen zo botsen met bestaande domeinnamen.

Een aanvaller kan hier misbruik van maken door het het domein dat het bedrijf intern gebruikt en waarvoor het WPAD-verzoek was bedoeld te registreren. Vervolgens kan hij zichzelf als proxy voor het netwerkverkeer aankondigen en zo een man-in-the-middle-aanval uitvoeren. Uit onderzoek van Verisign blijkt dat het om een grootschalig probleem gaat, waarbij dagelijks 20 miljoen verzoeken eindsystemen actief kwetsbaar voor aanvallen maken. De meeste gelekte WPAD-verzoeken werden in de Verenigde Staten gemeten, maar Nederland staat op een derde plek.

Het probleem speelt vooral bij laptops die buiten het interne bedrijfsnetwerk worden gebruikt, bijvoorbeeld bij een openbaar wifi-netwerk. Als oplossing adviseert het US-CERT onder andere om de automatische ontdekking van proxyservers in de browser uit te schakelen, interne dns-servers aan te passen, WPAD-verkeer te monitoren en uitgaande verzoeken voor WPAD-configuratiebestanden via de firewall te blokkeren. Ook Verisign heeft een document (pdf) met aanbevelingen gepubliceerd.

Image

Reacties (7)
24-05-2016, 13:03 door Erik van Straten
In mijn ervaring is het niet eenvoudig om WPAD requests de nek om te draaien, veel software negeert de algemene instelling (Engelstalige Windows: Control Panel -> Network and Internet -> Internet Options -> Connections -> LAN Settings). Bijv. KIS (Kaspersky Internet Security) heeft hier een eigen instelling voor (Proxy server settings).

Het beste kun je een sniffer als Wireshark gebruiken om betrouwbaar vast te kunnen stellen dat je dit risico volledig hebt uitgeschakeld.

Overigens is het heel lastig (zo niet onmogelijk) om Windows systemen, die lid zijn van een AD (Active Directory) domain, zodanig dicht te timmeren dat je ze veilig kunt gebruiken op onveilige netwerken. Maar dat geldt ook voor niet-AD-leden, want alleen al DHCP vormt een risico; je moet maar afwachten of de informatie die jouw PC ontvangt afkomstig is van de bedoelde DHCP server, en zo ja, of die DHCP server betrouwbaar is.
24-05-2016, 14:25 door Anoniem
Door Erik van Straten:Overigens is het heel lastig (zo niet onmogelijk) om Windows systemen, die lid zijn van een AD (Active Directory) domain, zodanig dicht te timmeren dat je ze veilig kunt gebruiken op onveilige netwerken. Maar dat geldt ook voor niet-AD-leden, want alleen al DHCP vormt een risico; je moet maar afwachten of de informatie die jouw PC ontvangt afkomstig is van de bedoelde DHCP server, en zo ja, of die DHCP server betrouwbaar is.

Nou, je zou gewoon de root servers kunnen vervangen in Windows Server.of gewoon geen Windows Server gebruiken als DNS server maar bijvoorbeeld een infoblox waar je dat wel gewoon dicht kunt timmeren.
Verder hoeven natuurlijk clients nooit rechtstreeks naar internet.
Internet kan je ook gewoon afvangen op een PCoIP of VMWare sessie laten lopen.

De enige beveiliging voor PC op het corporate netwerk voor bedreigingen vanaf internet is GEEN verbinding met internet.
24-05-2016, 15:26 door Anoniem
Het probleem speelt vooral bij laptops die buiten het interne bedrijfsnetwerk worden gebruikt
En vervolgens
interne dns-servers aan te passen, WPAD-verkeer te monitoren en uitgaande verzoeken voor WPAD-configuratiebestanden via de firewall te blokkeren

Dat gaat allemaal niet werken in die situaties waarbij het vooral een probleem is. Gebruik van laptops buiten het eigen netwerk vallen helemaal buiten het zichtveld.

Voor binnen het netwerk is WPAD heel goed voor goede doelen in te zetten. Als je al geen proxy gebruikt, is het wel verstandig om in ieder geval de wpad hostname in al je subdomeinen te registreren. Zet vervolgens een server op die een lege proxy file afgeeft.

Detecteer je een aanval of zie je een phish binnenkomend of krijg je informatie over een site met malware, neem dan de URL op in de proxy configuratie en laat die naar de proxy server gaan, alwaar de gebruiker een waarschuwing krijgt.

Peter
24-05-2016, 15:37 door Anoniem
Kan eigenlijk je router die je locale netwerk met internet verbindt ook de bron van zulke WPAD problemen zijn?
24-05-2016, 16:45 door Anoniem
Interessant probleem... je zou denken dat al die geweldige 3rd party firewall pakketten van 200MB wel ergens een
optie hebben om DNS requests naar wpad.* te blokkeren als de verbinding naar een insecure netwerk is?
Of verwacht ik dan te veel?
25-05-2016, 09:44 door Erik van Straten - Bijgewerkt: 25-05-2016, 09:47
24-05-2016, 14:25 door Anoniem:
Door Erik van Straten:Overigens is het heel lastig (zo niet onmogelijk) om Windows systemen, die lid zijn van een AD (Active Directory) domain, zodanig dicht te timmeren dat je ze veilig kunt gebruiken op onveilige netwerken. Maar dat geldt ook voor niet-AD-leden, want alleen al DHCP vormt een risico; je moet maar afwachten of de informatie die jouw PC ontvangt afkomstig is van de bedoelde DHCP server, en zo ja, of die DHCP server betrouwbaar is.

Nou, je zou gewoon de root servers kunnen vervangen in Windows Server.of gewoon geen Windows Server gebruiken als DNS server maar bijvoorbeeld een infoblox waar je dat wel gewoon dicht kunt timmeren.
Verder hoeven natuurlijk clients nooit rechtstreeks naar internet.
Internet kan je ook gewoon afvangen op een PCoIP of VMWare sessie laten lopen.

De enige beveiliging voor PC op het corporate netwerk voor bedreigingen vanaf internet is GEEN verbinding met internet.
Sjeemig, waar HEB je het over?

Redactie schreef: "Het probleem speelt vooral bij laptops die buiten het interne bedrijfsnetwerk worden gebruikt, bijvoorbeeld bij een openbaar wifi-netwerk".
26-05-2016, 16:18 door musiman
En natuurlijk weer bashen op Microsoft's DNS server implementatie, terwijl de nieuwere versies van Windows Server gewoon een GlobalQueryBlocklist hebben.

In powershell:

get-DNSServerGlobalQueryBlocklist

Nu zie je dat WPAD en ISATAP queries gewoon geweigerd worden.

Zoals Erik van Straten al aangeeft, het gaat vooral over het openbare netwerk, internet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.