Llegamos a ustedes gracias a:



Reportajes y análisis

Desactive WPAD ahora o, sus datos serán comprometidos

[14/10/2016] Investigadores de seguridad advierten que el Protocolo Web Proxy Auto-Discovery (WPAD), activado por defecto en Windows y apoyado por otros sistemas operativos, puede exponer las cuentas online, las búsquedas en la web y otros datos privados de los usuarios.

Los ataques Man-in-the-Middle (MitM) pueden abusar del protocolo WPAD para apropiarse de las cuentas online y robar su información confidencial, incluso cuando acceden a páginas web a través de conexiones HTTPS o VPN cifradas, señalan Alex Chapman y Paul Stone, investigadores con el Context Information Security con sede en el Reino Unido durante la conferencia de seguridad DEF CON.

WPAD es un protocolo desarrollado en 1999 por gente de Microsoft y otras compañías de tecnología, que permite a las computadoras descubrir, automáticamente, qué web proxy deberían usar. El proxy se define en un archivo de JavaScript llamado archivo proxy auto-config (PAC).

La ubicación de los archivos PAC puede ser descubierta a través de WPAD de muchas maneras: a través de la opción especial Dynamic Host Configuration Protocol (DHCP), a través de las búsquedas locales de Domain Name System (DNS) o a través de una Link-Local Multicast Name Resolution (LLMNR).

Los atacantes pueden burlar estas opciones para suministrar computadoras en una red local con un archivo PAC que especifica un web proxy fraudulento bajo su control. Esto puede ser realizado en una red inalámbrica abierta, o si los atacantes comprometen un router o punto de acceso.

Comprometer la red original de la computadora es opcional, porque estas seguirán intentando usar WPAD para el descubrimiento del proxy cuando son llevadas afuera y conectadas a otras redes, tales como los puntos de acceso públicos inalámbricos. Asimismo, a pesar de que WPAD es usado la mayoría de veces en ambientes corporativos, está activada por defecto en todas las computadoras Windows, incluso en aquellas que ejecutan ediciones Home.

Un web proxy fraudulento permitiría a los atacantes interceptar y modificar el tráfico HTTP no cifrado, lo cual no sería, normalmente, una gran cosa, porque la mayoría de sitios web importantes, hoy en día, usan HTTPS (HTTP Secure).

Sin embargo, dado que los archivos PAC permiten definir diferentes proxies para URLs particulares, y también pueden forzar al DNS para que busque esos URLs, Chapman y Stone crearon una secuencia de comandos que filtran todos los URLs HTTPS a través de búsquedas de DNS a un servidor pirata que controlan.

Las HTTPS URLs completas se supone que están escondidas porque pueden contener tokens de autenticación y otros datos importantes como parámetros. Por ejemplo, la URL https://example.com/login?authtoken=ABC1234 puede ser filtrada a través de una solicitud de DNS para https.example.com.login.authtoken.ABC1234.leak y reconstruida en el servidor del atacante.

Los investigadores mostraron que mediante el uso de este método de fugas de HTTPS URL basado en PAC, los atacantes pueden robar los términos de búsqueda de Google o ver qué artículos ha visto el usuario en Wikipedia. Eso es malo desde la perspectiva de la privacidad, pero los riesgos introducidos por WPAD y los archivos de PAC fraudulentos no terminan aquí.

Los investigadores idearon otro ataque en el que usan el proxy fraudulento para re direccionar al usuario a una página falsa del portal cautivo, como aquellas usadas por muchas redes inalámbricas para recolectar información sobre los usuarios antes de permitirles entrar a Internet.

Su portal cautivo falso obliga a los navegadores a cargar páginas web comunes como Facebook o Google en el fondo y luego realiza una redirección 302 HTTP a las URLs a las que solo se puede acceder después de que el usuario se autentique -y la mayoría de la gente tiene sesiones autenticadas en sus navegadores-; y los atacantes serán capaces de recolectar información de sus cuentas.

Este ataque puede exponer los nombres de cuentas de las víctimas en varias páginas web, incluyendo fotos privadas de sus cuentas a las que se pueden acceder a través de enlaces directos. Por ejemplo, las fotos privadas de la gente en Facebook, en realidad, están alojadas en la red de distribución de contenidos del sitio, y otros usuarios pueden acceder directamente a ella si es que conocen el URL completo a su ubicación en el CDN.

Por otra parte, los atacantes pueden robar los tokens de autenticación para el popular protocolo OAuth, que permite a los usuarios registrarse en páginas web de terceros con su cuenta de Facebook, Google o Twitter. Al utilizar el proxy fraudulento, las redirecciones 302 y la funcionalidad pre-rendirizado de la página del navegador, los atacantes pueden apropiarse de las cuentas de las redes sociales y, en algunos casos, obtener pleno acceso.

En Windows, WPAD está siendo usado cuando la opción de ajustes detectados automáticamente está seleccionada en el panel de configuración.

En una demostración, los investigadores mostraron cómo es que podían robar fotos, historial de ubicaciones, resúmenes de correo electrónico, recordatorios y detalles de contacto de una cuenta de Google, así como también todos los documentos alojados en Google Drive.

Vale la pena destacar que estos ataques no quiebran el cifrado de HTTPS, sino que trabajan a su alrededor y se aprovechan de la manera en la que la web y los navegadores funcionan. Muestran que, si WPAD es activado, HTTPS se vuelve mucho menos efectivo a la hora de proteger información importante de lo que se creía anteriormente.

Pero, ¿qué pasa con las personas que utilizan redes virtuales privadas (VPNs) para cifrar todo su tráfico de Internet cuando se conectan a una red pública o que no es de confianza? Aparentemente, WPAD rompe esas conexiones, también.

Los dos investigadores demostraron que algunos clientes de VPN ampliamente utilizados, como OpenVPN, no borran la configuración del Internet del proxyestablecida a través de WPAD. Esto significa que, si los atacantes ya lograron envenenar la configuración del proxy de la computadora a través de un PAC malicioso antes de que ésta se conectara a una VPN, su tráfico seguirá siendo dirigido a través del proxy malicioso después de pasar por la VPN. Esto permite todos los ataques mencionados arriba.

La mayoría de sistemas operativos y navegadores tenían implementaciones de WPAD vulnerables cuando los investigadores descubrieron estos problemas a principios de año, pero solo Windows tenía WPAD activado por defecto.

Desde entonces, OS X, iOS, Apple TV, Android y Google Chrome han lanzado parches. Microsoft y Mozilla estaban todavía trabajando en ellos.

Los investigadores recomiendan a los usuarios desactivar el protocolo. Incluso una de las diapositivas decía: "No, de verdad, apaguen el WPAD. "Si todavía necesita usar archivos PAC, apague el WPAD, configure una URL explícita para su secuencia de comandos de PAC y entréguelo a través del HTTPS o desde un archivo local.

Chapman y Stone no fueron los únicos investigadores que resaltaron los riesgos de seguridad con WPAD. Unos pocos días antes de su presentación, dos investigadores llamados Itzik Kotler y Amit Klein, independientemente, mostraron el mismo filtrado de URL HTTPS a través de PACs maliciosos en una presentación en la conferencia de seguridad Black Hat. Asimismo, un tercer investigador, Maxim Goncharov, llevó a cabo otra charla en Black Hat sobre los riesgos de seguridad de WPAD, titulada BadWPAD.

En mayo, los investigadores de Verisign y la Universidad de Michigan mostraron que decenas de millones de solicitudes WPAD se filtran en Internet cada día, cuando las laptops son llevadas fuera de las redes de la empresa. Esas computadoras están buscando dominios de WPAD internos que acaban en extensiones como .global, .ads, .group, .network, .dev, .office, .prod, .hsbc, .win, .world, .wan, .sap, y .site.

El problema es que algunas de estas extensiones de dominio se han convertido en los TLDs públicos genéricos y pueden ser registrados en Internet. Esto puede, potencialmente, permitir a los atacantes apropiarse de las solicitudes WPAD y meter archivos PAC fraudulentos a las computadoras, incluso si no están en la misma red que estos.