Як вимкнути WPAD та усунути вразливість VPN та HTTPS у Windows

На недавній хакерській сходці або, якщо хочете культурніше, на конференції пентестерів Defcon 2016 фахівцями з інформаційної безпеки Алексом Чапманом та Полом Стоуном була представлена ​​вразливість WPAD. Даний пролом дозволяє отримати доступ до захищених за допомогою HTTPS та VPN даних.

Сьогодні я розповім як відключити WPAD, але для початку давайте розберемося, що це за звір такий WPAD і як здійснюється експлуатація вразливості.

До речі, для тих, хто в танку. Колись у статті «Відключення WebRTC» ми розповідали про схожу проблему, яка дозволяє деанонімізувати користувачів VPN. Почитайте якщо що на дозвіллі.

  • Передмова
  • Що таке WPAD
  • Вразливість WPAD
  • Як вимкнути WPAD
  • Відео: Експлуатація вразливості WPAD

Web Proxy Auto-Discovery Protocol (WPAD) – це протокол автоматичного налаштування Proxy. Цей протокол використовується клієнтами (браузером) для визначення місця (URL) розташування конфігураційного файлу з використанням технологій DHCP та/або DNS.

Вразливість WPAD

Розміщення конфігураційного PAC-файлу можна визначити за допомогою DHCP (Dynamic Host Configuration Protocol), DNS (Domain Name System) або LLMNR (Link-Local Multicast Name Resolution). Кіберзлочинці можуть використовувати вразливість у WPAD, вказавши розміщення спеціально налаштованого PAC-файлу, який направить запит браузера через проксі-сервери, що знаходяться під контролем зловмисників.

Цього можна досягти у відкритій бездротовій мережі, скомпрометувавши роутер або точку доступу, або відкривши для всіх бажаючих доступ до власної точки доступу, налаштованої спеціальним чином.

Компрометувати власну мережу комп'ютера, що атакується, абсолютно не потрібно, оскільки система буде використовувати WPAD для виявлення проксі у разі підключення по відкритій бездротовій мережі. При цьому WPAD використовується і в корпоративному оточенні, ця «корисна» функція за замовчуванням включена на всіх комп'ютерах операційної системи Windows, як я вже говорив вище.

вимкнути
Alex Chapman та Paul Stone на хакерській конференції Defcon 2016

Свій проксі-сервер дає можливість хакерам перехоплювати та модифікувати незашифрований HTTP-трафік. Це не дає надто багато зловмисникам, оскільки багато сьогоднішніх сайтів працюють за HTTPS (HTTP Secure).

У статті «Безпека Proxy» я вже розповідав і показував, як інші товариші з конференції Defcon перехоплювали паролі та логіни користувачів публічних проксі-серверів.

Пентестери розробили ще один тип атаки, який може бути використаний для перенаправлення користувача відкритої бездротової точки доступу на ліву сторінку фейкової точки точки доступу.

Деякі, хоча більшість бездротових мереж збирають дані про користувачів за допомогою спеціальних сторінок. Після введення особистих даних користувач отримує доступ до інтернету (досить часто ця схема використовується провайдерами бездротового зв'язку в аеропортах).

Якщо користувач вже здійснив вхід у свій обліковий запис, а багато хто, як правило, не виходить зі своїх облікових записів на різних ресурсах працюючи зі свого комп'ютера або ноутбука, то в такому разі зловмисник може легко отримати ідентифікаційні дані жертви.

Як вимкнути WPAD

Для тих, хто ще не спить або вже прокинувся, продовжимо. Тепер я розповім вам про відключення WPAD.

Вимкнення WPAD за допомогою реєстру

вимкнути

І введенням команди «regedit».

усунути

Після цього шукаємо гілку:

У каталозі WPAD створюємо новий параметр DWORD (32-біт).

wpad

Називаємо його «WpadOverride»

усунути

Натискаємо на ньому подвійним кліком і змінюємо його значення з 0 на 1

wpad

Після чого натискаємо «ОК» та перевантажуємо комп'ютер. На цьому налаштування WPAD завершено.

Насправді про експлуатацію WPAD вже давно говорили. Наш земляк Сергій Рубльов із Positive Technologies у статті «Слабкі сторони технології WPAD» у подробицях все розжовував ще далекого 2009 року. Але тоді цьому особливої ​​уваги не приділили, а зараз після Defcon зчинився галас.

Ось начебто і все. Тепер ви знаєте, як відключити WPAD. Всім удачі друзі та інформаційної безпеки!