WPAD: 20 Jahre altes Protokoll bringt Millionen Nutzer in Gefahr

Das Protokoll WPAD dient zum automatischen Konfigurieren von Proxies und stellt eine lange bekannte Sicherheitslücke dar. Auf der Sicherheitskonferenz Black Hat hat ein Forscher nun weitere Schwachstellen präsentiert.

Das Web Proxy Auto Discovery Protocol (WPAD) ist seit Netscape 2.0 im Jahr 1996 in quasi jedem Betriebssystem verankert. Es dient zur automatischen Konfiguration eines Proxys auf dem Endgerät und ist schon sehr lange als Schwachstelle geläufig. Das Problem: Router leiten die Anfragen von Clients nach der Datei ins Internet weiter. Antwortet dort ein Server, kann er beliebige Proxy-Einstellungen verteilen. Dies betrifft beispielsweise alle hinter einer Fritzbox betriebenen Endgeräte. Und auch Microsoft hat mit BadTunnel vor kurzem wieder ein WPAD-Problem in Windows behoben.

Böse Proxies

Der bis vor kurzem bei Trend Micro angestellte Sicherheitsexperte Maxim Goncharov hat ein schwerwiegendes Problem rund um WPAD entdeckt: Während seiner Präsentation im Rahmen der Konferenz Black Hat führte er aus, wie quasi beliebige Endgeräte per WPAD mit einer bösartigen Proxy-Konfiguration versorgt werden können – ohne Zutun des Anwenders und unabhängig vom Betriebssystem. Der WPAD-Standard erlaubt prinzipiell auch das Setzen eines SOCKS-Proxys, so dass im Endeffekt jeglicher Datenverkehr des betroffenen Endgeräts durch den vom Angreifer kontrollierten Proxy fließt. Aber auch wenn nur ein Web-Proxy eingerichtet wird, gehen diesem mehr Daten in die Fänge als reiner Browser-Datenverkehr.

Das Problem basiert darauf, wie Endgeräte nach der URL suchen, von der sie gerne die zur Konfiguration verwendete Datei wpad.dat herunterladen würden: Der Client nimmt die vom DHCP-Server vorgegebene Suchdomain (beispielsweise foo.unternehmen.bar) und fügt ein wpad. davor (wpad.foo.unternehmen.bar). Findet er im lokalen Netzwerk keine passende URL, nimmt er eine Subdomain nach der anderen (wpad.unternehmen.bar, wpad.bar) aus der Anfrage, bis er eventuell auf einen gültigen Server trifft. Router leiten diese Anfragen auch nach draußen ins Internet. Kontrolliert also ein Angreifer die Top Level Domain .bar, kann er prinzipiell alle Clients, die zur betreffenden Suchdomain gehören, mit beliebigen wpad.dat-Dateien beschicken.

Lauscher an Bord

Goncharov testete dies beispielsweise an Flughäfen, einer Konferenz und auch an Bord eines Lufthansa-Fluges nach San Francisco, in dem er einfach den Namen seines Rechners auf wpad änderte. Alleine während des Fluges erreichten sein Notebook so über 1200 entsprechende Anfragen, wobei natürlich nur wenige verschiedene Endgeräte hierfür verantwortlich waren. Außerdem registrierte er zu Testzwecken die Top Level Domain (TLD) .tokyo, in Erwartung von reichlich Anfragen aufgrund der 2020 in Japan stattfindenden Olympiade. Ergebnis: In gut sechs Monaten fragten zirka 2000 offensichtlich zur Stadtverwaltung von Tokio gehörende Clients gut 60 Millionen mal bei seinem in der AWS-Cloud betriebenen Honeypot nach wpad.dat an.

In Deutschland betrifft dies insbesondere Anwender, die mittels einer Fritzbox ins Internet gehen. Die Geräte geben die Suchdomain fritz.box vor. Wann die TLD .box aktiv wird, steht noch nicht fest. AVM ist nach Auskunft des Sprechers Urban Bastert jedenfalls auf dem Plan und will die TLD registrieren, sobald das möglich ist. Es bleibt zu hoffen, dass dies gelingt. Denn ginge die Top Level Domain .box beziehungsweise die Domain wpad.box an eine dritte Person, könnte diese alle hinter einer Fritzbox betriebenen Endgeräte automatisch mit einer Proxy-Einstellung konfigurieren.

Abhilfe? Nur von Hand

Am Rand von Goncharovs Vortrag zeigte ein Konferenzteilnehmer, wie er mit Hilfe der Methode auch beliebige HTTPS-Verbindungen per Man-in-the-Middle abfangen konnte. Wenngleich mit Zertifikatsfehlermeldung im Browser. Zudem wies der Forscher darauf hin, dass ein in Berlin Ansässiger seit Jahren die Domain wpad.de registriert hat. Nach Hinweis nahm sich die Polizei der Sache an und ließ sich die Log-Dateien des Webservers aushändigen – die keine bösartigen Aktivitäten zeigten. Wenngleich offen ist, ob die Logs modifiziert wurden. Außerdem stieß Goncharov auf den Hersteller eines Werbeblockers für iOS, der 24 Domains wie wpad.sk, wpad.com.tw oder wpad.org.cn registriert hat. Wofür, ist derzeit unklar.

Schutz vor dem Problem erhalten Heimanwender, wenn sie die automatische Proxy-Konfiguration abschalten. Alternativ kann man am Router beziehungsweise der Firewall einen Wildcard-Filter für wpad.* setzen, um so die Anfragen nicht ins Internet weiter zu leiten. Unternehmen können die Domain wpad.unternehmensnahme.de registrieren oder die automatische Proxyeinstellung unterbinden und einen Proxy vorgeben. Weitere Tipps finden sich in einem Whitepaper, dass Trend Micro veröffentlicht hat.

Korrektur: Antwort von AVM richtiggestellt. (fab)