Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) heeft een waarschuwing afgegeven voor een beveiligingsrisico dat door gebruik van het WPAD-protocol kan ontstaan en waardoor met name gebruikers van Windows en Internet Explorer risico lopen.
WPAD staat voor Web Proxy Auto-Discovery en laat computers binnen een organisatie dezelfde webproxyconfiguratie gebruiken. In plaats van het individueel configureren van elke computer die met het netwerk verbinding maakt, vindt WPAD het proxyconfiguratiebestand en past deze configuratie automatisch toe. WPAD staat standaard op Windows en Internet Explorer ingeschakeld. Mac OS X en Linux alsmede Chrome, Firefox en Safari ondersteunen WPAD wel, maar het protocol staat hier niet standaard ingeschakeld.
Het kan echter voorkomen dat verzoeken van WPAD bedoeld voor de dns-servers van een bedrijf bij publieke dns-servers terechtkomen. In de huidige situatie vormen gelekte dns-verzoeken nu systematische kwetsbaarheden, aangezien het nieuwe generieke top level domein (gTLD) in het wereldwijd Domain Name System (dns) beschikbaar wordt, zo stelt internetbedrijf Verisign. De gelekte WPAD-verzoeken kunnen zo botsen met bestaande domeinnamen.
Een aanvaller kan hier misbruik van maken door het het domein dat het bedrijf intern gebruikt en waarvoor het WPAD-verzoek was bedoeld te registreren. Vervolgens kan hij zichzelf als proxy voor het netwerkverkeer aankondigen en zo een man-in-the-middle-aanval uitvoeren. Uit onderzoek van Verisign blijkt dat het om een grootschalig probleem gaat, waarbij dagelijks 20 miljoen verzoeken eindsystemen actief kwetsbaar voor aanvallen maken. De meeste gelekte WPAD-verzoeken werden in de Verenigde Staten gemeten, maar Nederland staat op een derde plek.
Het probleem speelt vooral bij laptops die buiten het interne bedrijfsnetwerk worden gebruikt, bijvoorbeeld bij een openbaar wifi-netwerk. Als oplossing adviseert het US-CERT onder andere om de automatische ontdekking van proxyservers in de browser uit te schakelen, interne dns-servers aan te passen, WPAD-verkeer te monitoren en uitgaande verzoeken voor WPAD-configuratiebestanden via de firewall te blokkeren. Ook Verisign heeft een document (pdf) met aanbevelingen gepubliceerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.