Die Proxy-Konfiguration eines Systems kann über das WPAD-Protokoll automatisch gesetzt werden. Das Protokoll gilt schon lange als unsicher. Sicherheitsforscher Maxim Goncharov hat auf der Sicherheitskonferenz Black Hat neue Sicherheitslücken vorgestellt.

Die Sicherheitslücken liegen darin, wie die Clients nach den WPAD-Konfigurationsdaten suchen. In der Datei wpad.dat befinden sich die Konfigurationsdaten. Der Client ermittelt die URL der Datei mit Hilfe der vom Router vorgegeben Suchdomäne, zum Beispiel foo.unternehmen.bar. Dann hängt er vor dieser Adresse ein wpad (wpad.foo.unternehmen.bar). Sollte der Client dort keine Daten finden, versucht er wpad.unternehmen.bar und schließlich wpad.bar. Diese Anfragen von Routern werden auch nach außen geleitet und so könnte jemand, der die Top-Level-Domain .bar besitzt, den Clients falsche WPAD-Konfigurationsdaten unterschieben.

Goncharov hat in einem Test Honeypots für WPAD-Konfigurationsanfragen aufgesetzt und dabei mitunter Millionen von Konfigurationsanfragen bekommen.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE