Windows-brist kan føre til kapring af netværk
Microsoft, Windows, Hackere
Et problem i måden Windows-PC'er registrerer netværksindstillinger kan tillade, at hackere kaprer trafikken, hvis de har adgang til netværket, siger en gruppe sikkerhedsresearchere.
En brist i det system, Windows PC'er med Internet Explorer bruger til at skaffe sig proxy-indstillinger, kan lade en hacker med adgang til netværket indføre ondsindet kode og omdirigere al nettrafikken.
Sådan lyder vurderingen fra researchere ved sikkerhedsfirmaet IOActive på ShmooCon hacker-konferencen i Washington.
Proxy-problemet er dog ikke et kritisk sikkerhedshul, vurderer Paget sammen med sin kollega, sikkerhedseksperten Dan Kaminsky fra IOActive. Angrebet er kun muligt, hvis man har adgang til det netværk, man har sat sig som mål. Det kan ikke ske over internettet, bemærker de og afviser, at der skulle være grund til massepanik eller kritiske advarsler.
Kaminsky tilføjede dog, at det ikke fjerner behovet for at få problemet løst, dels fordi interne trusler er reelle, og dels fordi problemet med proxyserveren kunne tiltale angribere, der finder det stadigt sværere at udnytte andre sårbarheder. Det kan gøre metoden attraktiv.
»Det betyder i sidste ende, at jeg kan blive din proxyserver, uden at du ved det. Jeg kan sætte hvad der svarer til et stort omkørselsskilt op på dit netværk og omdirigere al din trafik,« siger Chris Paget, leder af forskning og udvikling ved IOACtive.
En angriber kan sætte "omvejsskiltet" op, fordi Internet Explorer på Windows PC'er automatisk søger efter en proxyserver, der bruger Web Proxy Autodiscovery Protocol (WPAD), forklarer Paget. Det viser sig, at angriberen let kan registrere en proxyserver på et netværk, der bruger Windows Internet Naming Service (WINS) og anden netværksservice, inklusive Domain Name System (DNS).
»Når Internet Explorer starter, spørger den automatisk netværket, hvor dets proxyserver er. Og det er meget nemt at række hånden op og sige, "Her er jeg",« beskriver Paget.
Microsoft er selv opmærksomme på problemet og beskriver det på deres sider: »Hvis det på uautoriseret vis lykkes at registrere et WPAD indlæg i DNS eller i WINS, og denne omsættes til en vært med en ondsindet Wpad.dat-fil, så vil WPAD klienter måske være i stand til at dirigere deres internet-traffik gennem en ondsindet proxyserver.«
»Hvis angrebet lykkes, vil al trafik på netværket flyde igennem angriberens proxy, hvilket betyder, at han kan få adgang til alle data og omdirigere eller manipulere dem,« sagde Paget.
På sit supportsite beskriver Microsoft, hvordan en netværksadministrator forholder sig overfor WPAD-problemet. De beskrevne retningslinier reserverer statisk DNS værtsnavne og WPAD WINS navne-fortegnelser. Det resulterer i, at en angribers onsindede WPAD-navn ikke længere virker, hvilket forpurrer forsøget på at udnytte tricket, vurderer Paget.
Kilde: ZDnet.co.uk
http://comon.dk/index.php/news/show/id=30516