Een nieuw lek in Windows kan relatief gemakkelijk door hackers worden gebruikt om surfers om te leiden via malafide sites. Ze kunnen ook ongemerkt internetverkeer inzien en manipuleren. Het probleem werd door het beveiligingsbedrijf IOActive afgelopen weekend op de ShmooCon-hackersconferentie in Washington aangekaart.
Het zwakke punt zit in het Web Proxy Autodiscovery Protocol (WPAD), een protocol dat aangesproken wordt bij het opstarten van Internet Explorer. De browser gebruikt WPAD om op het netwerk te zoeken naar het bestand wpad.dat, dat op zijn beurt verwijst naar een proxy-server. Zo'n server zou in principe het surfen moeten versnellen.
Het blijkt nu dat een aanvaller wpad.dat kan manipuleren om Internet Explorer naar een proxy-server in zijn beheer te sturen. Wanneer de malafide proxy gekoppeld is aan de browser, wordt al het internetverkeer eerst langs deze server omgeleid. De kans is klein dat de surfer de omleiding opmerkt.
Microsoft is op de hoogte van het probleem en publiceerde afgelopen zaterdag een artikel met kunstgrepen die netwerkbeheerders kunnen uitvoeren om een WPAD-kaping te voorkomen.
In theorie is het lek bruikbaar om gevoelige gegevens van surfers te onderscheppen. Gelukkig zijn er enkele hinderpalen die voorkomen dat de kwetsbaarheid een ernstig gevaar wordt. Zo kan het aanbieden van een malafide proxy via WPAD enkel vanaf hetzelfde netwerk als dat waar de surfer op zit. Een algemene aanval met als oorsprong het internet kan dus niet. Volgens IOActive schuilt het grootste gevaar bij insiders die in een bedrijfsnetwerk de hack uitvoeren.
Het is niet de eerste keer dat WPAD een fout blijkt te bevatten. Zeven jaar geleden bracht Microsoft een update uit voor IE5, nadat een succesvolle aanval gekaapte pc's omleidde naar een veilingsite.
Geen opmerkingen:
Een reactie posten