حمله با پروتکل WPAD، پرونده‌های PAC از ترافیک HTTPS سوءاستفاده می‌کند!

الکس چپ من و پاول استون از Context که یک شرکت مشاوره امنیتی سایبری در انگلستان است، روش حمله جدیدی با استفاده از پروتکل WPAD و پرونده‌های PAC پیدا کردند که باعث سرقت اطلاعات مربوط به وب‌گاه‌های HTTPS می‌شود که کاربر از آن‌ها بازدید کرده است.

این کشف مورد دیگری از بهره‌برداری است که از پروتکل ناامن WPAD استفاده می‌کند.

WPAD مخفف «کشف خودکار پروکسی وب» است و پروتکلی است که برای انتشار پیکربندی‌های پروکسی در سرتاسر شبکه مورد استفاده قرار می‌گیرد. این عملیات انتشار با استفاده از پیکربندی‌های پروکسی به نام پرونده‌های PAC، یا پیکربندی‌های خودکار پروکسی انجام می‌شود که پیش از اینکه مقصد مرورگرها یا دیگر برنامه‌های اتصال به اینترنت ردیابی شود، دریافت می‌کنند.

این حمله آدرس کامل URL برای وب‌گاه‌های HTTPS را به دست می‌دهد. چپ من و استون می‌گویند مهاجمی که روی یک شبکه آلوده باشد می‌تواند از آن برای انتقال پرونده‌های PAC و تزریق محتوای حاوی کد مخرب خود استفاده کند. کارگزارها ممکن است برای انتقال پرونده‌های پیکربندی پروکسی به‌جای استفاده از HTTPS از HTTP استفاده کنند.

محققان توضیح دادند که یکی از دستورالعمل‌های موجود PAC به مهاجم اجازه می‌دهد URL کامل یک وب‌گاه HTTPS را به دست آورد که ممکن است بدان دسترسی داشته باشند. به‌طور معمول، وقتی شخصی سعی می‌کند ترافیک HTTPS را به سرقت ببرد، تنها بخشی از آدرس URL یعنی https://domain-name.com را می‌تواند ببیند.

این حمله به مهاجمان اجازه می‌دهد آدرس کامل URL را به دست آورد مانند https://domain-name.com/page/about/something.html.

این حمله ممکن است به خطرناکی حملات BadTunnel یا Hot Potato نباشد، اما راهی ساده برای جمع‌آوری تاریخچه ترافیک وب هدف مورد نظر از طریق شکست محافظت ارائه شده توسط ترافیک HTTPS است.

اپل و گوگل این مشکل را برطرف کرده‌اند، اما مایکروسافت آن را وصله نکرده است.

این اشکال بر روی تمامی سامانه‌های عامل تأثیر می‌گذارد چرا که تمامی آن‌ها از پرونده‌های PAC و WPAD پشتیبانی می‌کنند. محققان امنیتی تمامی شرکت‌ها را از این موضوع مطلع کرده و برخی از آن‌ها وصله‌هایی برای محصولاتشان منتشر کرده‌اند که روش عملکرد پرونده‌های PAC و WPAD را وصله می‌کنند ازجمله وصله‌ای که اپل که برای iOS و OSX و گوگل برای اندروید و کروم منتشر نموده‌اند.

دو محقق پیشنهاد دادند که کاربران ویندوز اگر از WPAD روی شبکه‌ خود استفاده نمی‌کنند آن را خاموش کنند، چرا که از این پروتکل تنها روی شبکه‌های شرکت با دیواره آتش قوی استفاده می‌شود.

کاربران ویندوز روی شبکه‌هایی که از WPAD و PAC استفاده کرده‌اند باید گزینه پیش‌فرض «تنظیمات شناسایی خودکار» را در بخش تنظیمات LAN غیرفعال کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.