Scarica il bollettino PDF

Computer Emergency Response Team
BOLLETTINO IT-CERT.160524.B01
Collisioni di nomi in richieste DNS WPAD
sfruttabili per attacchi Man-in-the-Middle
Doc.: IT-CERT.160524.B01
ver. 1.0 del 24/05/2016
Pagina 1 di 3
DESCRIZIONE
Web Proxy Auto-Discovery (WPAD) è un protocollo utilizzato per garantire che tutti i sistemi di
un’organizzazione utilizzino la stessa configurazione per il proxy Web. L’uso di WPAD consente di
centralizzare le impostazioni del proxy ed evitare di dover configurare singolarmente ciascun dispositivo
collegato ad una rete aziendale. Con il protocollo WPAD viene individuato nella rete un unico script di
configurazione mediante il quale viene applicata automaticamente la corretta impostazione del proxy in
tutti i browser.
Già da diverso tempo sono state osservate richieste DNS per risorse WPAD, normalmente destinate alla
risoluzione da parte di server DNS privati o aziendali, che raggiungono server DNS pubblici. Questo
potrebbe potenzialmente causare collisioni tra nomi di domini di primo livello utilizzati all’interno di reti
private e TLD (Top-Level Domain) registrati per uso pubblico e inseriti nella zona DNS principale (DNS root
zone). Le possibilità di collisione sono divenute molto più ampie a seguito del programma di ICANN per i
nuovi gTLD (generic Top-Level Domain) che ha portato, a partire dalla fine del 2012, alla registrazione di più
di 1000 nuovi domini pubblici di primo livello.
Queste collisioni a livello di TLD possono essere sfruttate in maniera malevola da un attaccante registrando
opportunamente domini di secondo livello corrispondenti a nomi di risorse WPAD utilizzati in aziende reali.
In questo modo l’attaccante potrebbe configurare un proxy esterno per il traffico di rete, utilizzabile per
realizzare attacchi di tipo Man-in-the-Middle (MitM) su Internet, sfruttando richieste DNS WPAD
erroneamente gestite da DNS pubblici.
Questa vulnerabilità legata a richieste DNS WPAD erronee può riguardare prevalentemente risorse
aziendali come, ad esempio, i computer portatili. In particolare, tali risorse divengono potenzialmente
vulnerabili quando vengono utilizzate al di fuori della rete interna aziendale, ad esempio in reti domestiche
o in reti Wi-Fi pubbliche.
SOLUZIONE
Si raccomanda agli utenti e agli amministratori di rete di implementare le seguenti soluzioni di mitigazione
allo scopo di rendere l’infrastruttura di rete più sicura ed efficiente:






Disabilitare la funzione di individuazione automatica del proxy nei browser e nel sistema operativo
del dispositivo, se questo non viene utilizzato nella rete interna aziendale.
Considerare l’uso di un nome di dominio non ambiguo (FQDN - Fully Qualified Domain Name) dal
DNS globale come radice per lo spazio dei nomi interno delle risorse aziendali.
Configurare i server DNS interni per rispondere in maniera autoritativa alle richieste di TLD interne.
Configurare firewall e proxy per bloccare e registrare richieste in uscita per file wpad.dat.
Identificare il traffico di rete WPAD atteso e monitorare lo spazio dei nomi pubblico o considerare
la registrazione preventiva di domini per evitare future collisioni di nomi.
Nel caso in cui la propria infrastruttura di rete stia subendo danni gravi e dimostrabili in
conseguenza della collisione di nomi, riportare il problema ad ICANN visitando l’URL:
https://forms.icann.org/en/help/name-collision/report-problems.
Per maggiori informazioni sulla problematica oggetto del presente bollettino e sulle soluzioni di mitigazione
si raccomanda di consultare la documentazione elencata nella sezione LINK UTILI.
Doc.: IT-CERT.160524.B01
ver. 1.0 del 24/05/2016
Pagina 2 di 3
SISTEMI
L’uso di WPAD è abilitato per impostazione predefinita su tutti i sistemi operativi Microsoft Windows e nel
browser Internet Explorer.
WPAD è supportato ma non abilitato per impostazione predefinita sui sistemi operativi basati su Linux,
incluso Apple OS X, e nei browser Safari, Chrome e Firefox.
LINK UTILI
US-CERT Alert (TA16-144A) - WPAD Name Collision Vulnerability
https://www.us-cert.gov/ncas/alerts/TA16-144A
ICANN - Name Collision Resources & Information
https://www.icann.org/resources/pages/name-collision-2013-12-06-en
Verisign - MitM Attack by Name Collision: Cause Analysis and Vulnerability Assessment in the New gTLD
Era
http://www.verisign.com/assets/labs/MitM-Attack-by-Name-Collision-Cause-Analysis-and-WPADVulnerability-Assessment-in-the-New-gTLD-Era.pdf
NOTE
Le informazioni contenute nel presente bollettino sono fornite a meri fini informativi.
In nessun caso il CERT Nazionale può essere ritenuto responsabile di qualunque perdita, pregiudizio,
responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto,
incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino.
La versione PDF del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento
della pubblicazione.
Doc.: IT-CERT.160524.B01
ver. 1.0 del 24/05/2016
Pagina 3 di 3