Alerta técnica del US-CERT (TA16-144A)

Vulnerabilidad de colisión de nombres del WPAD

A continuación se detalla el texto completo de la alerta técnica del US-CERT, Vulnerabilidad de colisión de nombres del protocolo WPAD, publicada el 23 de mayo de 2016.

Sistemas afectados

  • Windows, OS X, sistemas Linux y navegadores web con WPAD habilitado.
  • Redes que utilicen TLD no registrados o no reservados.

Descripción general

Se ha constatado que las consultas al Sistema de nombres de dominio (DNS) con Detección automática de proxy web (WPAD), que se deben resolver en servidores DNS privados o empresariales, en ocasiones llegan a servidores DNS públicos [1]. En conjunto con el programa para nuevos dominios genéricos de primer nivel (gTLD), que incorpora a los gTLD no delegados previamente para registro público, las consultas WPAD filtradas podrían ocasionar colisiones de nombre de dominio con los esquemas de nombres de redes internas [2] [3]. Los registrantes de dominios oportunistas podrían abusar de estas colisiones al configurar servidores proxy externos para el tráfico de red y ejecutar ataques mediante intermediario (man-in-the-middle) a través de internet.

Descripción

El WPAD es un protocolo utilizado para garantizar que todos los sistemas de una organización usen la misma configuración de servidor proxy web. En lugar de modificar configuraciones de forma individual en cada dispositivo conectado a la red, el WPAD ubica un archivo de configuración proxy y aplica la configuración de manera automática.

El uso del WPAD está habilitado de manera predeterminada en todos los sistemas operativos de Microsoft Windows y en los navegadores Internet Explorer. El WPAD es compatible, pero no está habilitado de manera predeterminada, en Mac OS y los sistemas operativos basados en Linux, así como en los navegadores Safari, Chrome y Firefox.

Con el nuevo programa de gTLD, las cadenas gTLD no delegadas previamente ahora se delegan para el registro de nombres de dominio público [3]. Estas cadenas se pueden utilizar en redes privadas o empresariales y, en ciertas circunstancias, como por ejemplo cuando una computadora de trabajo se conecta desde una red doméstica o externa, las consultas DNS del WPAD se pueden realizar erróneamente a los servidores DNS públicos. Los atacantes puede aprovechar las consultas WPAD filtradas al registrar el dominio buscado y establecer archivos de configuración proxy para llevar a cabo ataques mediante intermediario (man-in-the-middle) a través de internet.

Otros servicios, como por ejemplo el correo electrónico y los sitios web internos, también pueden realizar consultas DNS e intentar conectarse automáticamente a los nombres DNS que supuestamente son internos [4],

El impacto

Las consultas WPAD filtradas pueden ocasionar colisiones de nombres de dominio con los esquemas internos de nombres de la red. Si un atacante registra un dominio para atender las consultas WPAD filtradas y configura un proxy válido, es posible que lleve a cabo ataques mediante intermediario (man-in-the-middle) a través de internet.

La vulnerabilidad del WPAD es considerable para los activos corporativos como las computadoras portátiles. En algunos casos, estos activos son vulnerables incluso en el lugar de trabajo, pero la mayoría de las observaciones indican que la mayor parte de los activos se vuelve vulnerable cuando se utiliza fuera de una red interna, como por ejemplo en redes domésticas y redes Wi-Fi públicas.

El impacto de otros tipos de consultas DNS filtradas e intentos de conexión varían según el tipo de servicio y su configuración.

La solución

El US-CERT recomienda a los usuarios y administradores de red que implementen las siguientes sugerencias para brindar una infraestructura de red más segura y eficaz:

  • Considere desactivar la configuración o detección automática de servidores proxy en los navegadores y sistemas operativos, a menos que esos sistemas se utilicen exclusivamente en redes internas.
  • Considere usar un nombre de dominio registrado y completo (FQDN) de un DNS global como raíz del espacio de nombres empresarial o interno.
  • Considere usar un TLD interno bajo su control y que no pueda registrarse con el nuevo programa gTLD. Tenga en cuenta que no hay ninguna garantía de que la lista actual de "Nombres reservados" de la Guía del solicitante (AGB) de nuevos gTLD seguirá siendo reservada en cada revisión subsiguiente de los nuevos gTLD [5].
  • Configure los servidores DNS internos para responder de manera autoritativa a las consultas TLD internas.
  • Configure los firewall y servidores proxy para registrar y bloquear las solicitudes salientes para los archivos wpad.dat.
  • Identifique el tráfico de red WPAD esperado y supervise el espacio de nombres público, o considere registrar los dominios de manera defensiva para evitar futuras colisiones de nombres.
  • Envíe un informe a la ICANN si su sistema está sufriendo un daño grave y demostrable debido a las colisiones de nombre accediendo a https://forms.icann.org/en/help/name-collision/report-problems.


Referencias
  1. Verisign: "MitM Attack by Name Collision: Cause Analysis and Vulnerability Assessment in the New gTLD Era".
  2. ICANN: Recursos e información sobre colisiones de nombres.
  3. ICANN: Nuevos gTLD
  4. US-CERT: "Controlling Outbound DNS Access"
  5. ICANN: Guía del solicitante de gTLD.