Ga naar inhoud

Netwerken kwetsbaar door automatische dns-registratie


Aanbevolen berichten

Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft een waarschuwing afgegeven voor een probleem met automatische dns-registratie en autodiscovery waardoor een aanvaller in bepaalde gevallen gevoelige gegevens op netwerken kan stelen.

Het probleem doet zich voor als een aanvaller erin slaagt om een kwaadaardig apparaat aan het netwerk toe te voegen met de naam "WPAD". Andere apparaten op het netwerk zullen vervolgens dit apparaat als proxy gebruiken en allerlei verkeer via dit apparaat versturen. Een aanvaller kan dit verkeer onderscheppen en zo toegang tot gevoelige gegevens krijgen.

De aanval is mogelijk door een combinatie van factoren. De eerste is dat veel routers zogeheten "LAN based device discovery" ondersteunen. De routers registreren standaard een dns-record gebaseerd op de naam van het apparaat dat op het netwerk wordt aangesloten. Wanneer een aanvaller het apparaat met de naam WPAD aansluit, zal deze naam door de automatische dns-registratie of autodiscovery worden overgenomen.

De tweede factor waardoor het probleem ontstaat is het WPAD-protocol. WPAD staat voor Web Proxy Auto-Discovery en laat computers binnen een organisatie dezelfde webproxyconfiguratie gebruiken. In plaats van het individueel configureren van elke computer die met het netwerk verbinding maakt, vindt WPAD het proxyconfiguratiebestand (PAC) en past deze configuratie automatisch toe. Zodoende hoeft er bijvoorbeeld bij een browser geen server van te voren worden ingesteld om verbinding mee te kunnen maken.

Door beide factoren te combineren beschouwen op het netwerk aangesloten apparaten het "WPAD"-apparaat van de aanvaller als proxy en zullen vervolgens hun verkeer via dit apparaat laten lopen. In het verleden hebben onderzoekers al verschillende keren aangetoond hoe WPAD door aanvallers kan worden gebruikt om zich als proxy voor het netwerkverkeer aan te kondigen.

Het was echter nog niet bekend dat dergelijke aanvallen ook via automatische dns-registratie en autodiscovery zijn uit te voeren. Volgens het CERT/CC is een kortetermijnoplossing dat routers niet automatisch lokale dns-namen registreren in combinatie met autoconfiguratie. Daarnaast zou de autodiscovery-feature van routers multicast dns-gebaseerde namen niet als gezaghebbende bron moeten beschouwen.

 

 

bron: security.nl

Link naar reactie
Delen op andere sites


 Delen

×
×
  • Nieuwe aanmaken...