Использование WPAD в службах Microsoft

PAC-файла в настройках браузера, если в сети используется конфигурирование настроек прокси-серверов через PAC-файл, и его месторасположение заранее известно.

Помимо FindProxyForURL в PAC-скрипте доступны различные вспомогательные функции для более гибкой настройки. Предположим, из настроек DHCP мы узнали, что имя домена — msk.office.work.

Windows 7 ведет себя по-другому: сначала по DNS проверяет полный домен, потом пытается зарезолвить имя WPAD через Link-Local Multicast Name Resolution, а затем — с помощью NetBIOS Name Service. Представим себя на месте злоумышленника, который хочет пустить весь локальный трафик через свой прокси-сервер. Если мы находимся в том же сегменте локальной сети (т.е. можем использовать NetBIOS), нам даже ничего не придется делать — можно воспользоваться готовым NBNS-спуфером из Metasploit.

В настоящее время существует 861 домен первого уровня. Пару лет назад я регистрировал домен wpad.co, на который действительно шли многочисленные запросы за wpad.dat файлом. За 11 дней к нему обратились с 3901 уникального IP. При этом заметно, что количество запросов уменьшалось в выходные. К сожалению, самое интересное, то есть данные обмена между клиентом и сервером после handshake, для нас будет выглядеть лишь как набор бинарных данных.

Тем не менее, даже в этой урезанной версии есть свои приятные функции. Одна из них — isResolvable — проверяет, возможно ли разрешить доменное имя в IP-адрес. Независимо от того, какой браузер используется, у нас есть полный URL. С этим уже можно работать.

Не использовать «чужие» домены. P.S. Если вы хотите принять участие в одном из следующих Security Meetup’ов, и вам есть о чем рассказать, напишите Кариму valievkarim Валиеву или Владимиру z3apa3a Дубровину.

Использование WPAD в службах Microsoft

Насколько я знаю оно в начале шлёт DHCP INFORM и требует опцию 252, и только если ответа нет или опции в ответе нет то начинается брожение где попало. Админу достаточно на дхцп сервере прописать валидный URL а по хттп отдавать файл. Это и управляемый коммутатор с дхцп скринигом надёжно защитят всю сеть от подобных проблем.

Атака с использованием WINS-сервера

Автоматически появляется нужная запись в DNS. Profit. Добавить запись wpad можно, но DNS ее не будет разрешать. Как правило он располагается в корне веб-сервера, например в /var/www для Apache2. Файл представляет собой javascript загружаемый в браузер клиента в момент его старта.

В скрипте доступны имена хостов определённые в файле /etc/hosts. HostOrDomainIs(host, «www.company.com») — возвращает значение true, если домен из имени узла совпадает с заданным доменом. Выполняется только для URL-адресов, относящихся к локальному домену. WPAD (Web Proxy Auto Discovery) – протокол, позволяющий Web-клиентам автоматически определять местоположение файла настроек браузера для работы через прокси-сервер.

По сути WPAD – это протокол обнаружения в сети специального файла (сценария). Браузер выполняет настройку параметров работы через прокси-сервер. В Internet Explorer WPAD включен по умолчанию, что делает уязвимым к атакам огромное число пользователей, отдающих предпочтение данному браузеру, а также браузерам, импортирующим его настройки. Наиболее уязвимым местом в технологии WPAD является поиск месторасположения PAC-файла.

Локальные файлы hosts и lmhosts будем считать недоступными для злоумышленника. Для успешной атаки в этом случае злоумышленнику необходимо иметь корректную учетную запись в атакуемом домене.

Регистрация имен компьютеров, входящих в сеть, является штатной функцией WINS-сервера. Как и в случае с DNS-сервером регистрация осуществляется при помощи одного специального пакета. Данный вектор атаки доступен, если у злоумышленника есть физический доступ к подсети клиента. Как пример можно привести домовые сети, сети небольших провайдеров, WiFi-интернет в кафе и торговых центрах, где WINS-серверы не используются, а NetBIOS-трафик не фильтруется на сетевых устройствах.

Range( day1 ) — возвращает значение true, если текущее время системы попадает в диапазон, заданный с использованием параметров и (необязательный). Отключить автоматическое определение настроек в настройках всех браузеров (для IE и Chrome это можно сделать через доменные политики). Но есть и более свежие свидетельства возможности перехватить то, что нам не предназначалось: месяц назад я зарегистрировал домен wpad.work.

И еще интересно: