BlackHat2016: badWPAD – WPAD-Protokoll mit ernsten Sicherheitsbedenken

von Trend Micro

WPAD ist ein Protokoll, das es Computern ermöglicht, automatisch Web Proxy-Konfigurationen zu erkennen. Es wird vor allem in Netzwerken verwendet, in denen Clients mit der Außenwelt nur über ein Proxy kommunizieren dürfen – also in den meisten Unternehmen. WPAD, oder auch „autoproxy“ genannt, wurde ursprünglich 1996 von Netscape® 2.0 implementiert, um Proxy-Settings für verschiedene Arten von Anwendungen, die eine Internetverbindung benötigen, einfach zu konfigurieren. Das Tool kann mit jedem System zusammenarbeiten, das Proxy Auto-Discovery unterstützt, so etwa die meisten Browser, Betriebssysteme und einige Anwendungen, die nicht vom Betriebssystem aus arbeiten.

Warnungen zu Sicherheitsproblemen gibt es seit vielen Jahren, sie wurden jedoch aus irgendwelchen Gründen weitgehend ignoriert. Es ist eigentlich ziemlich einfach, WPAD zu missbrauchen. Das Problem mit WPAD hat prinzipiell damit zu tun, dass wann immer das Protokoll eine Anfrage an ein Proxy richtet, jeder einen Dienst erstellen kann, der darauf antwortet, und praktisch den realen Web Proxy darstellen kann. (Man-in-the-Middle-Angriff).

Bild 1. Einfacher Angriff auf lokaler Ebene

Dieses 20 Jahre alte und noch immer riskante Protokoll weckte das Interesse von Trend Micros Sicherheitsforscher, die in Experimenten herausfinden wollten, ob WPAD die Erwartungen von Angreifern erfüllt. Sie kamen zu überraschenden Ergebnissen, die sie zur Überzeugung brachten, dass WPAD tatsächlich badWPAD ist.

Zu den Tests gehörten solche zur Anwendbarkeit von WPAD über verschiedene lokale und/oder öffentliche Netzwerke. Zwischen Oktober 2015 und Januar 2016 sammelten sie Daten in Form von Log-Dateien. Die Analyse der User-Agent Muster förderten interessante Dinge zu Tage. Sie unternahmen eine Reihe von Experimenten mit WPAD in einigen öffentlichen und privaten (Trend Micros eigener Domäne) Netzwerken. Das Bild zeigt die Anzahl der Anfragen, die von verschiedenen Standorten aus kamen, einschließlich WLAN-Zugang an öffentlichen Plätzen, Konferenzen, Geschäfts-Lounges, Flughäfen, Büros oder Wohnungen.

Bild 2. Anfragen von verschiedenen Standorten aus

Der Grund für die Recherche war die Tatsache, dass dieses alte Protokoll heutzutage unter ganz anderen Umständen verwendet wird als vor 20 Jahren – nämlich von mobilen Nutzern, die viel unterwegs sind und damit abhängiger von öffentlichen WLAN-Zugriffen. Die genutzten Geräte sind nicht mehr in geschlossenen, geschützten Unternehmensnetzwerken angemeldet. Jedes WLAN birgt theoretisch die Gefahr, dass ein Nutzer sich an ein System anmeldet, dass eine wpad. {domain name}-Anfrage auflöst. Künftig kommen auch immer mehr mit dem Internet verbundene Dinge hinzu, sodass die Nutzung von WPAD eine Menge Probleme verursachen könnte.

Die Sicherheitsforscher stellten ihr Whitepaper „badWPAD: The lasting menace of a bad protocol” auf der Black Hat vor. Das Papier zeigt die ernsten Sicherheitsbedenken gegen das Protokoll, vor allem unter dem Aspekt der geänderten Nutzungsbedingungen.

Bild 3. WPAD-Netzwerkanfragen

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.