Ny attack mot HTTPS genom WPAD/PAC

En ny attack mot https kommer att presenteras under konferensen som går av stapeln inom några dagar i . Denna nya attack använder sig av DHCP option 242 () och kan således lura en klient som sitter på samma lokala nätverk att gå via en proxy.

Option 242 pekar nämligen ut en -fil som innehåller proxy-inställningar för klientens webbläsare. Detta finns specificerat i draft-ietf-wrec-wpad-01.txt från år 1999 bl.a. Observera även att denna attack fungerar mot Mac, Windows samt Linux.

We show that HTTPS cannot provide security when WPAD is enabled.

Exempel på skadlig kod som använder sig av PAC (källa Microsoft):

PAC1

Skärmdump från inställningar för proxy:Firefox WPAD

Och följande bilder visar på hur attacken gå till väga för att ta över ett konto/tjänst vid återställning av lösenord:

unholy-pac-1-980x980 unholy-pac.2-980x980 unholy-pac-3-980x980Och är du på plats i Las Vegas kan du se följande två föredrag som behandlar ämnet:

Är du Windows-admin så kan WPAD stängas av genom följande GPO: ”Disable changing Automatic Configuration settings” samt ”Administrative TemplatesWindows ComponentsInternet Explorer” i användarpolicy samt datorpolicy.

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>