US-CERT Teknik Uyarısı (TA16-144A)

WPAD Ad Çatışması Güvenlik Açığı

US-CERT Teknik Uyarısı'ndan alınan tüm metin aşağıda yer almaktadır - WPAD Name Collision Vulnerability (WPAD Ad Çatışması Güvenlik Açığı), yayınlanma tarihi 23 Mayıs 2016.

Etkilenen Sistemler

  • Windows, OS X, Linux sistemleri ve WPAD erişimli web tarayıcıları
  • Tescilli olmayan veya kayıt dışı TLD kullanan ağlar

Genel Bakış

Gizli veya işletmeye ait DNS sunucularında çözüm bulma amacı taşıyan Web Proxy Otomatik Bulma (WPAD) Alan Adı Sistemi (DNS) sorgularının ortak DNS sunucularına ulaştığı gözlemlenmiştir [1]. Yeni jenerik üst düzey etki alanı (gTLD) programının kamu kayıtlarına yönelik daha önceden başkasına devredilemeyen gTLD'lerle birleşmesiyle birlikte sızan WPAD sorguları, dahili ağ adlandırma şemalarının dahil olduğu alan adı çatışmasına yol açabilir [2] [3]. Fırsattan istifade eden etki alanı kayıt sahipleri ise ağ trafiğine yönelik harici proxy'leri yapılandırıp İnternet yoluyla ortadaki adam (MITM) saldırısını etkinleştirerek bu çatışmaları kötüye kullanabilir.

Tanım

WPAD, bir işletmedeki tüm sistemlerin aynı web proxy yapılandırmasını kullanmasını sağlamak için kullanılan bir protokoldür. WPAD, bir ağa bağlı olan her bir cihazın yapılandırılmasının tek tek değiştirilmesine gerek kalmadan proxy yapılandırma dosyasını bulur ve yapılandırmayı otomatik olarak gerçekleştirir.

WPAD, tüm Microsoft Windows işletim sistemleri ve İnternet Explorer tarayıcılarında varsayılan olarak ayarlıdır. WPAD, Mac OS X ve Linux tabanlı işletim sistemlerinin yanı sıra Safari, Chrome ve Firefox tarayıcıları tarafından desteklense de bu sistemlerde varsayılan olarak ayarlı değildir.

Yeni gTLD programı sayesinde daha önceden başkasına devredilemeyen gTLD komut dosyaları, ortak alan adı kaydı için artık devredilmektedir [3]. Bu komut dosyaları özel veya işletme ağları tarafından kullanılabilir ve iş bilgisayarının evden veya harici bir ağdan bağlı olması gibi belirli durumlarda ise WPAD DNS sorguları hata sonucu ortak DNS sunucularına yapılabilir. Saldırganlar sızan etki alanına kayıt olup İnternet yoluyla MITM proxy yapılandırma dosyalarını kurarak bu gibi sızan WPAD sorgularını kötüye kullanabilir.

Diğer hizmetler de (örn., e-posta ve dahili web siteleri) DNS sorgularını gerçekleştirerek varsayılan dahili DNS adlarına otomatik olarak bağlanmaya çalışabilir [4].

Etki

Sızan WPAD sorguları, dahili ağ adlandırması şemalarının olduğu alan adı çatışmalarıyla sonuçlanabilir. Saldırgan, sızan WPAD sorgularına cevap vermek için bir etki alanına kayıt olur ve geçerli bir proxy yapılandırırsa ortadaki adam (MİTM) saldırısının İnternet yoluyla gerçekleştirilme olasılığı doğar.

Laptop gibi şirket varlıkları için güvenlik açığı önemlidir. Bazı durumlarda, bu varlıklar iş yerinde bile saldırılara açıktır fakat gözlemlere göre çoğu varlığın dahili bir ağın dışındayken saldırılara açık hale geldiği belirtilmiştir (örn., ev ağları, ortak Wİ-Fİ ağları).

Farklı tip sızan DNS sorgularının ve bağlanma girişimlerinin etkisi, hizmet tipine ve yapılandırmasına göre çeşitlilik göstermektedir.

Çözüm

US-CERT, kullanıcıları ve ağ yöneticilerini daha güvenli ve etkili bir ağ altyapısı için aşağıdaki tavsiyeleri uygulamaya davet ediyor:

  • Tarayıcılar ve işletim sistemleri sadece dahili ağlarda kullanılmıyorsa otomatik proxy bulma/yapılandırma işlemini etkisiz hale getirmeyi göz önünde bulundurun.
  • İşletmeyi ve diğer dahili isim alanını destekleyen global DNS'den gelen kayıtlı ve tamamen nitelikli alan adını (FQDN) kullanmayı göz önünde bulundurun.
  • Kontrolünüz altında olacak yeni gTLD programıyla yapılacak kayıtları engelleyen dahili bir TLD kullanmayı göz önünde bulundurun. Yeni gTLD Applicant Guidebook'da (gTLD Başvuran Kılavuzu) (AGB) yer alan güncel "Rezerve Edilen Adlar" listesinin yeni gTLD'lerin sonraki turuyla mevcut durumunu sürdüreceğine dair hiçbir garanti olmadığını unutmayın [5].
  • Dahili TLD sorgularına yetkili olarak cevap vermesi için dahili DNS sunucuları yapılandırın.
  • Wpad.dat dosyaları için giden isteklere giriş yapıp engellemek için güvenlik duvarını ve proxyleri yapılandırın.
  • Beklenen WPAD ağ trafiğini tanımlayıp ortak isim alanını gözlemleyin veya oluşabilecek ad çatışmalarını önlemek için etki alanlarına koruyucu bir şekilde kaydolmayı düşünün.
  • Sisteminiz ad çatışması yüzünden büyük bir hasarla karşı karşıyaysa https://forms.icann.org/en/help/name-collision/report-problems sitesini ziyaret ederek ICANN'e rapor gönderebilirsiniz.


Referanslar
  1. Verisign – MitM Attack by Name Collision: Cause Analysis and Vulnerability Assessment in the New gTLD Era
  2. ICANN – Name Collision Resources & Information
  3. ICANN – New gTLDs
  4. US-CERT – Controlling Outbound DNS Access
  5. ICANN – gTLD Applicant Guidebook