WPAD 名称冲突漏洞
以下是来自 US-CERT 技术警报 - WPAD 名称冲突漏洞的完整文本,本文发布于 2016 年 5 月 23 日。
受影响的系统
- Windows、OS X、Linux 系统以及启用 WPAD 的 Web 浏览器
- 使用未注册或未保留 TLD 的网络
概述
Web 代理自动发现 (WPAD) 域名系统 (DNS) 查询用于解决私人或企业 DNS 服务器已发现连接至公共 DNS 服务器 [1]。与新通用顶级域 (gTLD) 计划(纳入此前因公开注册而未委派的 gTLD)联合,已泄露的 WPAD 查询可能会使域名与内部网络命名规则产生冲突 [2] [3]。通过为网络流量配置外部代理并在互联网中启用中间人 (MitM) 攻击,别有用心的域注册者可能会滥用这些冲突。
威瑞信资源
英语版本的文档
| 日期 | 资源标题 |
|---|---|
| 01-NOV-17 | Conference Paper: Client-side Name Collision Vulnerability in the New gTLD Era: A Systematic Study (Appearing in ACM Conference on Computer and Communications Security, CCS, 2017) |
| 2016 年 5 月 23 日 | Conference Paper: 通过名称冲突实施 MitM 攻击:新 gTLD 时代中的原因分析和 WPAD 漏洞评估(在 2016 年 IEEE 安全和隐私中发布) |
| 2016 年 5 月 23 日 | White Paper: 企业针对 WPAD 名称冲突漏洞的补救措施 |
| 2013 年 9 月 15 日 | ICANN Board Correspondence: Focused Analysis of .CBA Queries |
| 2013 年 8 月 5 日 | Technical Report: 新 gTLD 的安全性、稳定性、弹性更新:探索性消费者影响分析 |
| 2013 年 8 月 5 日 | ICANN Public Comment: 苹果与橙子之间的区别(有关新 gTLD 中的名称冲突与 .com 和其他现存顶级域中的名称冲突) |
| 2013 年 3 月 28 日 | Technical Report: 新 gTLD 的安全性和稳定性注意事项 (PDF) |
描述
WPAD 是一个用于确保组织中所有系统均使用相同 Web 代理配置的协议。WPAD 不会在连接到网络的每个设备上单独修改配置,而会查找代理配置文件并自动应用配置。
默认情况下,在所有 Microsoft Windows 操作系统和 Internet Explorer 浏览器上启用使用 WPAD。虽然支持 WPAD,但默认情况下不会在基于 Mac OS X 和 Linux 的操作系统,以及 Safari、Chrome 和 Firefox 上启用。
凭借新 gTLD 计划,此前未委派的 gTLD 字符串现在会为公共域名称注册授权 [3]。私人或企业网络可能会使用这些字符串;而在特定情况下,例如在工作计算机从家庭或外部网络连接时,WPAD DNS 可能会向公共 DNS 服务器报告错误。通过注册泄露的域并在互联网中设置 MitM 代理配置文件,攻击者可能会利用此类泄露 WPAD 查询。
其他服务(例如邮件和内部 Web 站点)可能也会执行 DNS 查询,并可能尝试自动连接到内部 DNS 名称 [4]。
影响
泄露的 WPAD 查询可能会使域名称与内部网络命名规则产生冲突。如果攻击者注册域,以答复已泄露的 WPAD 查询并配置有效代理,可能会在互联网中实施中间人 (MitM) 攻击。
WPAD 漏洞对企业资产意义重大,例如笔记本。在一些情况下,这些资产会在工作时容易遭受攻击,但观察结果表示在使用内部网络之外的网络时大部分资产会遭受攻击(例如,家庭网络、公共 Wi-Fi 网络)。
其他类型的已泄露 DNS 查询影响和连接尝试因服务及其配置类型而异。
解决方案
US-CERT 鼓励用户和网络管理员落实以下建议,以提供更加安全和有效的网络基础设施:
- 请考虑在浏览器和操作系统中禁用自动代理发现/配置,除非这些系统将仅在内部网络中使用。
- 请考虑使用全球 DNS 中的注册和完全限定域名 (FQDN),作为企业和其他内部命名空间的根。
- 请考虑在您的控制范围内并受到通过新 gTLD 计划注册限制的情况下使用内部 TLD。请注意,并不保证新 gTLD 申请人指南 (AGB)“已保留名称”的当前列表将与后续新 gTLD 一同保留 [5]。
- 配置内部 DNS 服务器,以授权响应内部 TLD 查询。
- 配置防火墙和代理,为 wpad.dat 文件记录并阻止出站请求。
- 识别预期的 WPAD 网络流量并监控公共命名空间或从保护的角度考虑注册域,以避免未来名称冲突。
- 如果您的系统因为名称冲突正在遭受显而易见的严重损害,请通过 ICANN 提交报告;有关信息,请访问 https://forms.icann.org/en/help/name-collision/report-problems。
参考文献