Nye domæner åbner for man-in-the-middle-angreb

Artiklen blev oprindeligt publiceret den 25/5/2016

En sårbarhed i brugen af protokollen WPAD (Web Proxy Auto-Discovery) lader angribere udføre man-in-the-middle-angreb. Den hænger sammen med de nye topniveaudomæner.

WPAD er en protokol, der bruges til at konfigurere proxy-opsætningen af pc'er. Computerne kontakter en WPAD-server, der fortæller dem, hvilken proxy-server de skal anvende.

Nogle virksomheder anvender interne topniveaudomæner i deres DNS (Domain Name System). Det kan fx være .corp. Derfor kan den lokale WPAD-server få navnet wpad.corp.

De senere år er der åbnet mulighed for at tilbyde nye topniveaudomæner på internettet. Dermed kan nogen fx registrere domænet .corp.

Hvis en medarbejder tager sin laptop med hjem, vil den forsøge at forbinde sig til wpad.corp. Da pc'en nu ikke sidder på virksomhedens interne net, vil forespørgslen blive sendt til domæneserveren for corp-domænet.

Sikkerhedsforskere fra Verisign og University of Michigan har undersøgt sårbarheden. De mener, at der hver dag udsendes omkring 20 millioner forespørgsler, der er rettet mod interne domæner og dermed er potentielt sårbare.

Anbefaling
Slå WPAD fra, hvis det ikke benyttes. Hvis I anvender WPAD, kan I gå over til at oplyse serverens IP-adresse i stedet for et internt domænenavn.

Links