حفره‎ی تصادم در نام WPAD موجب حملات MitM می‌شود!

محققان می‌گویند که یک آسیب‌پذیری در پروتکل کشف خودکار پروکسی اینترنت (WPAD) وجود دارد که می‌تواند توسط عوامل مخرب استفاده شود تا حملات مرد میانی (MitM) را علیه کاربران شرکت‌ها ترتیب دهند.
پروتکل WPAD به وسیله‌ی سازمان‌ها استفاده می‌شود تا اطمینان حاصل کنند که همه‌ی سامانه‌های آن‎ها دارای تنظیمات پروکسی وب یکسانی هستند. هنگامی که یک دستگاه به شبکه متصل است، از WPAD استفاده می‌کند تا تنظیمات پرونده پروکسی را از طریق DHCP یا DNS پیدا کرده و آن را به صورت خودکار اعمال نماید.
این پروتکل در سامانه عامل‌های ویندوز مایکروسافت و مرورگر اینترنت اکسپلورر این شرکت، به صورت پیش‌فرض فعال است. در لینوکس و OS X و مروگرهای کروم، سافاری و فایرفاکس، WPAD به صورت پیش‌فرض فعال نیست اما از آن پشتیبانی می‌شود.
محققان از قبل می‌دانسته‌اند که WPAD آسیب‌پذیر است، اما محققان دانشگاه میشیگان و شرکت Verisign اکنون یک حمله جدید کشف کرده‌اند که می‌تواند خطرات جدی برای شرکت‌ها در بر داشته باشد.
به گفته‌ی کارشناسان، این مشکل مربوط به این واقعیت است که بسیاری از شرکت‌ها اسامی داخلی همچون corp ،.dev ،.network. را برای دایرکتوری فعال شرکت و استقرار پروتکل دسترسی سبک دایرکتوری (LDAP) ایجاد می‌کنند. این کار نباید به صورت عادی مشکلی داشته باشد، چرا که این TDL های درونی (iTDLs) قرار است تنها از سوی کارگزارهای نام درونی شرکت استفاده شوند.

با این حال، با معرفی بسیاری دیگر از TDL های عمومی جدید، ممکن است که دامنه‌هایی که برای استفاده‌ی داخلی ایجاد شده است، در اینترنتی عمومی نیز وجود داشته باشد، که این موجب یک مشکل در همسانی و برخورد اسامی خواهد شد.
درخواست‌های WPAD DNS که باید برای کارگزارهای DNS شرکت تجزیه و بررسی شوند به کارگزارهای DNS عمومی می‌رسند و با معرفی TDL های جدید عمومی، عوامل مخرب می‌توانند از این مشکل برخورد اسامی برای انجام حملات مرد میانی سوءاستفاده کنند.

برای مثال، اگر یک کارمند شرکت یک لپ‌تاپ شرکت را به یک شبکه‌ی خارجی متصل کند (برای مثال در یک کافی شاپ یا در خانه) دستگاه تلاش می‌کند که کارگزار WPAD شرکت را کشف کند. با این حال، به جای کارگزار DNS‌داخلی درونی سازمان، درخواست به یک کارگزار DNS عمومی ارسال می‌شود، که موجب نشت نام درخواست WPAD درونی می‌شود.
اگر یکی از عوامل مخرب بتواند دامنه‎ا‌ی را که یک سازمان استفاده می‌کند ثبت کند و یک پروکسی خارجی برای ترافیک شبکه تنظیم کند، می‌تواند به انجام حملات مرد میانی روی اینترنت بپردازد و اعتبارنامه‌ها و دیگر اطلاعات حساس را رهگیری کند.

محققان می‌گویند: «ما هر روز به صورت تقریبی ۲۰ میلیون درخواست آسیب‌پذیر را مشاهده می‌کنیم که می‌تواند برای انجام حملات مرد میانی مورد استفاده قرار گیرند و از ترکیب پروتکل WPAD و تضاد همسانی نام استفاده شود. آنچه که این شیوه‌ی حمله را بسیار خطرناک می‌کند این است که این مهاجمان نیاز ندارد که در مسیر قرار داشته باشند و یا منتظر بایستند تا یک پاسخ جعلی برای درخواست DNS در زمان لازم ارسال کنند. مهاجمان می‌توانند خارج از مسیر قرار گرفته و تنها منتظر باشند تا قربانیان یک درخواست را برای آن‎ها ارسال کنند. این کار احتمال انجام یک حمله‌ی بزرگ Watering Hole در مقیاس وسیع را به نحو مؤثری بالا می‌برد، که در آن یک مهاجم با اطمینان می‌داند که قربانیان در حالی که آسیب‌پذیر بوده و به راحتی قابل بهره‌برداری هستند، به صورت مداوم از او بازدید می‌کنند».

این گزارش که به وسیله‌ی محققان منتشر شده شامل مجموعه‌ی از توصیه‌هاست که باید برای خنثی‌سازی این حمله مورد استفاده قرار گیرد. انجمن US-CERT نیز یک مشاوره‌نامه منتشر کرده که به سازمان‌ها توصیه می‌کند تا استفاده از نام‌های دامنه را برای استفاده داخلی خود در نظر داشته باشند و کارگزارهای نام داخلی را به گونه‌ای تنظیم کنند تا بتوانند به درخواست‌های iTDL به صورتی مقتدرانه پاسخ گویند و با استفاده از دیواره‌ی آتش و پروکسی از ورود درخواست‌های خارجی برای فایل‌های WPAD جلوگیری کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.