image

Netwerken kwetsbaar door automatische dns-registratie

woensdag 5 september 2018, 15:55 door Redactie, 4 reacties

Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft een waarschuwing afgegeven voor een probleem met automatische dns-registratie en autodiscovery waardoor een aanvaller in bepaalde gevallen gevoelige gegevens op netwerken kan stelen.

Het probleem doet zich voor als een aanvaller erin slaagt om een kwaadaardig apparaat aan het netwerk toe te voegen met de naam "WPAD". Andere apparaten op het netwerk zullen vervolgens dit apparaat als proxy gebruiken en allerlei verkeer via dit apparaat versturen. Een aanvaller kan dit verkeer onderscheppen en zo toegang tot gevoelige gegevens krijgen.

De aanval is mogelijk door een combinatie van factoren. De eerste is dat veel routers zogeheten "LAN based device discovery" ondersteunen. De routers registreren standaard een dns-record gebaseerd op de naam van het apparaat dat op het netwerk wordt aangesloten. Wanneer een aanvaller het apparaat met de naam WPAD aansluit, zal deze naam door de automatische dns-registratie of autodiscovery worden overgenomen.

De tweede factor waardoor het probleem ontstaat is het WPAD-protocol. WPAD staat voor Web Proxy Auto-Discovery en laat computers binnen een organisatie dezelfde webproxyconfiguratie gebruiken. In plaats van het individueel configureren van elke computer die met het netwerk verbinding maakt, vindt WPAD het proxyconfiguratiebestand (PAC) en past deze configuratie automatisch toe. Zodoende hoeft er bijvoorbeeld bij een browser geen server van te voren worden ingesteld om verbinding mee te kunnen maken.

Door beide factoren te combineren beschouwen op het netwerk aangesloten apparaten het "WPAD"-apparaat van de aanvaller als proxy en zullen vervolgens hun verkeer via dit apparaat laten lopen. In het verleden hebben onderzoekers al verschillende keren aangetoond hoe WPAD door aanvallers kan worden gebruikt om zich als proxy voor het netwerkverkeer aan te kondigen.

Het was echter nog niet bekend dat dergelijke aanvallen ook via automatische dns-registratie en autodiscovery zijn uit te voeren. Volgens het CERT/CC is een kortetermijnoplossing dat routers niet automatisch lokale dns-namen registreren in combinatie met autoconfiguratie. Daarnaast zou de autodiscovery-feature van routers multicast dns-gebaseerde namen niet als gezaghebbende bron moeten beschouwen.

Reacties (4)
05-09-2018, 18:32 door Anoniem
Goh, het hele feest van hap-snap aanelkaar knutselen blijkt keer op keer vol met "oeps, even vergeten"-gotchas. Wie had dat nou gedacht? Ongeveer alle proxy-autoconfig mechanismen zijn al eens misbruikbaar gebleken, dus deze mag er ook nog wel bij.

De autoregistratie is trouwens ook zo'n giller. Apparaten zelf laten toestaan namen in de DNS te laten registreren? Nooit. Hooguit laat je het de dhcpd doen, met een heel stel regels aan wat voor namen acceptabel zijn en welke niet. En dan moet daar inderdaad ook "wpad" bij op de zwarte lijst.
06-09-2018, 01:09 door Anoniem
Niets nieuws onder de zon:
https://www.alienvault.com/blogs/security-essentials/dynamic-dns-security-and-potential-threats

Men gebruikt het voor malvertising campagnes, spearphishing en opzetten van botnets.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.