WPAD lek maakt bedrijven kwetsbaar voor MitM aanvallen

  1. 25 mei 2016
  2. 0 reacties

hacker

Een nieuw beveiligingslek kan worden misbruikt om een man-in-the-middle (MitM) aanval op te zetten tegen bedrijven. Het gaat om een kwetsbaarheid in het Web Proxy Auto-Discovery (WPAD) protocol.

De kwetsbaarheid is ontdekt door onderzoekers van Verisign en de Universiteit van Michigan. WPAD is een protocol dat door bedrijven wordt gebruikt om te zorgen dat alle systemen dezelfde web proxy configuratie gebruiken. Zodra een apparaat met het netwerk wordt verbonden gebruikt het WPAD om het proxy configuratie bestand te vinden en automatisch toe te passen. Het protocol is standaard ingeschakeld in Windows en de webbrowser Internet Explorer. WPAD wordt daarnaast ondersteund door zowel de webbrowsers Chrome, Firefox en Safari als het besturingssysteem OS X, maar is hier niet standaard ingeschakeld.

WPAD DNS Collision Vulnerability

De kwetsbaarheid die de onderzoekers hebben ontdekt heeft te maken met de interne topleveldomeinen (iTLD's) die bedrijven gebruiken voor hun Active Directory en Lightweight Directory Access Protocol (LDAP) implementaties, zoals .corp of .network. Dit heeft voorheen nooit tot problemen geleid. Door de introductie van zogeheten generieke topleveldomeinen (gTLD’s) bestaat nu echter de mogelijkheid dat een iTLD overeenkomt met een gTLD, wat misbruik mogelijk maakt. Het lek wordt daarom ook wel de WPAD DNS Collision Vulnerability genoemd.

Al langer is bekend dat WPAD DNS queries die uitgevoerd zouden moeten worden door enterprise DNS servers terecht komen bij publieke DNS servers. Dankzij de introductie van gTLD’s kunnen cybercriminelen hier nu misbruik van maken door bewust een gTLD te registreren dat overeenkomt met een iTLD van een bedrijf. Indien een werknemer van dit bedrijf met een extern netwerk verbinding maakt probeert dit apparaat de WPAD server van het bedrijf te bereiken via de iTLD. Dit verzoek komt echter terecht bij de publieke DNS servers, en wordt hierdoor doorgestuurd naar het gTLD dat is geregistreerd door de aanvaller. Dit maakt het mogelijk een MitM aanval op te zetten en informatie te onderscheppen.

Meer informatie over het beveiligingslek is te vinden in het rapport dat Verisign over het lek heeft vrijgegeven en de advisory van de US CERT.