Drucksache: PHP Magazin 1.17 - Mit Proxy und Proxykonfiguration gegen HTTPS
Im PHP Magazin 1.2017 ist ein Überblick über Angriffe auf SSL/TLS erschienen.
Dass SSL nicht mehr ausreichend sicher ist und durch TLS in einer möglichst hohen Version ersetzt werden sollte ist seit längerem bekannt. Aber selbst dann sind Angriffe auf HTTPS möglich, und das ganz ohne TLS-Schwachstelle. Und zwar über das Web Proxy Auto-Discovery Protokoll (WPAD, auch "autoproxy" genannt) und die davon verwendeten Proxy Auto-Config (PAC) Dateien.
Die daüber möglichen Angriffe können gefährlich werden. Dass bisher relativ wenig passiert ist, könnte daran liegen, dass nicht nur die Sicherheitsforscher, sondern auch die Cyberkriminellen die möglichen Angriffe lange Zeit übersehen oder ignoriert haben. Es könnte aber auch sein, dass es Angriffe gab, sie aber nicht erkannt wurden. So eine bösartige PAC-Datei ist eine flüchtige Angelegenheit, sobald das betroffene Gerät in einem anderen Netz eine neue herunter lädt ist sie verschwunden.
Aber das ist eigentlich egal, was jetzt zählt, ist der Schutz der Geräte. Also, frei nach Peter Lustig: "WPAD ausschalten!" Oder, wenn das nicht möglich ist, WPAD schützen, wie es im Artikel beschrieben wird.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Maxim Goncharov; Black Hat USA 2016: "badWPAD" (Whitepaper als PDF)
- [2] Rapid7: WPAD.dat File Server
- [3] Itzik Kotler, Amit Klein; Black Hat USA 2016: "Crippling HTTPS with Unholy PAC"
- [4] SafeBreach-Labs/pacdoor auf GitHub
- [5] Fabio Assolini, Andrey Makhnutin; Securelist: "PAC – the Problem Auto Config"
- [6] ThreatLabz; Zscaler Blog: "Banking Malware Uses PAC File"
- [7] Alex Chapman, Paul Stone; DEF CON 24: "Toxic Proxies - Bypassing HTTPS and VPNs to Pwn Your Online Identity"
(Präsentation als PDF, überarbeitetete Präsentation als PDF, Video auf YouTube) - [8] Alex Chapman, Paul Stone; Context Information Security: "Sniffing HTTPS URLS with malicious PAC files"
- [9] CVE-2016-1801
Apple: "Informationen zum Sicherheitsinhalt von OS X El Capitan 10.11.5 und zum Sicherheitsupdate 2016-003"
Apple: "Informationen zum Sicherheitsinhalt von iOS 9.3.2"
Apple: "Informationen zum Sicherheitsinhalt von tvOS 9.2.1" - [10] CVE-2016-3763
Google: "Android Security Bulletin—July 2016"
Google: "Patch: Don't pass URL path and username/password to PAC scripts" - [11] CVE-2016-5134
Google: "Chrome Releases - Stable Channel Update"
chromium-Tracker: Issue 593759 - Security: Proxy Auto-Config SSL/TLS Url Disclosure
Chromium Code Reviews: Issue 1996773002: Sanitize https:// URLs before sending them to PAC scripts. (Closed) - [12] Alex Chapman, Paul Stone; Context Information Security: "Attacks on HTTPS via malicious PAC files"
- [13] ctxis/pac-leak-demo auf GitHub
- [14] Sergey Rublev; Positive Technologies: "WPAD Technology Weakness" (PDF)
- [15] Erik Hjelmvik; NETRESEC Blog: "WPAD Man in the Middle"
- [16] Maxim Andreev; Mail.ru: "WPAD: User Manual" (Russisch)
- [17] darkk; Information Security Stack Exchange: Antwort in "tls - Can Web Proxy Autodiscovery leak HTTPS URLs?"
- [18] Nicolas Golubovic: "Attacking Browser Extensions" (PDF)
- [19] US-CERT: "Alert (TA16-144A) - WPAD Name Collision Vulnerability"
Verisign: "WPAD Name Collision Vulnerability"
Qi Alfred Chen, Eric Osterweil, Matthew Thomas, Z. Morley Mao: "MitM Attack by Name Collision: Cause Analysis and Vulnerability Assessment in the New gTLD Era" (PDF) - [20] Bas Venis: "Widespread WPAD vulnerability breaking HTTPS in Chrome, Firefox, Internet explorer" auf YouTube
Kinine/SecurityResearch/CVE-2016-5134 Chrome Firefox WPAD auf GitHub - [21] Carsten Eilers: "Flame? - Kein Grund zur Panik!"
- [22] Carsten Eilers: "Flame und die Windows-Updates"
Trackbacks