Jak pewien Polak mógł latami przejmować ruch milionów komputerów

[Grandalf]

CERT Polska pochwalił się niedawno przejęciem domeny wpad.pl. Dlaczego to takie ważne? Kto i po co 10 lat temu zarejestrował tę i wiele podobnych domen? Jak dzisiaj można wykorzystać podatność sprzed 20 lat? Dowiecie się z tego artykułu.

O atakach w stylu BadWPAD możemy mówić od 1999 r., kiedy to Microsoft, idąc z duchem czasu, wprowadził obsługę protokołu WPAD do przeglądarki Internet Explorer 5.0. Mechanizm pozwalający na automatyczne wykrywanie i konfigurację serwera proxy – czyli

Zaloguj lub Zarejestruj się aby zobaczyć!

– nie był wynalazkiem Microsoftu. Pamiętacie Netscape Navigatora, z którym konkurował kiedyś IE? WPAD został opracowany przez jego twórców – trzy lata wcześniej. Czy już wtedy był podatny na ataki, nie wiadomo. Pierwsze znane nam próby załatania tego protokołu podjęto, gdy trafił do IE.

WPAD – jak działa i dlaczego źle
Aby zrozumieć, co próbowano załatać, zobaczmy, jak w systemie Windows działa automatyczne wykrywanie proxy. Gdy wpisujemy adres strony, którą chcemy odwiedzić, wspierany przez przeglądarkę mechanizm WPAD zaczyna szukać w sieci hosta, na którym znajduje się plik konfiguracyjny wpad.dat. W pierwszej kolejności używa DHCP (ang. Dynamic Host Configuration Protocol), wysyłając żądanie DHCPInform z opcją 252 – w odpowiedzi może otrzymać adres URL potrzebnego pliku.

Jeśli to nie nastąpi, korzysta z innej metody, czyli wysyła zapytanie DNS typu A. Załóżmy, że pracujemy w korporacji, siedzimy w biurze i używamy komputera, który w firmowej sieci jest identyfikowany jako anna.biuro.warszawa.z3s.com.pl – w takim przypadku serwer DNS zostanie odpytany o domenę wpad.biuro.warszawa.z3s.com.pl. Jeśli taka domena istnieje, WPAD spróbuje pobrać i zinterpretować plik wpad.dat. A jeśli nie istnieje? Wtedy zacznie odcinać kolejne poziomy subdomen. Najpierw zapyta o wpad.warszawa.z3s.com.pl, jeśli i tej domeny nie znajdzie – sprawdzi wpad.z3s.com.pl. W tym miejscu przeszukiwanie powinno się zakończyć, prawda? Mamy tu .com.pl – domenę drugiego poziomu typu ccSLD (ang. country-code Second-Level Domain), czyli taką, która w połączeniu z domeną krajową pokazuje przeznaczenie danej strony. Dla przeciętnego użytkownika z Polski powinno być oczywiste, że wpad.com.pl może nie należeć do firmy z3s. Dla mechanizmu WPAD oczywiste nie było.

Cały artykuł:

Zaloguj lub Zarejestruj się aby zobaczyć!