安全研究人員上周六表示,Windows PC獲得網絡設置方式中存在的一個問題可能使黑客挾持流量。
在ShmooCon黑客會議上發言時,安全廠商IOActive的研究人員表示,該問題存在的原因與Windows PC用來獲得代理設置的系統中一個缺陷有關。因此,具有訪問網絡權限的黑客可以插入一個惡意代理,從而看到全部的網絡流量。
在所作的有關該問題的發言結束後接受采訪時,IOActive負責研發的主管佩奇特說,利用該缺陷,我能夠在用戶不知情的情況下成為他們的代理服務器。我可以在網絡上設置一個“繞行”標志,對所有的流量進行重定向。
佩奇特表示,由於Windows PC上的IE會缺省地使用Web Proxy Autodiscovery Protocol搜索代理服務器。黑客可以使用Windows Internet Naming Service ,以及包括Domain Name System在內的其它網絡服務很容易地注冊一個代理服務器。他說,當IE啟動時,它會向網絡查詢代理服務器在哪裡,黑客很容易設置一個惡意代理。
微軟在上周六發布在TechNet 上的一篇支持文章中承認存在該問題。微軟說,如果黑客能夠在DNS 或WINS中秘密地注冊一個WPAD條目,客戶端可能會通過一個惡意代理服務器傳輸互聯網流量。
如果黑客成功地設置了惡意代理服務器,網絡上的所有流量都會經過黑客設置的惡意代理,這意味著黑客能夠訪問所有的數據,對數據進行重定向,以及實施其它所有類型的操作。
佩奇特和IOActive安全專家卡明斯基表示,這一代理問題並非一個嚴重的問題。黑客只有在有權訪問網絡的情況下才可能得手,而無法從互聯網上對網絡進行攻擊。佩奇特說,企業最大的危險可能是家賊。用戶無需對這一問題感到恐慌。
但這並不意味著這一問題不需要解決。內部威脅是確確實實存在的。卡明斯基說,這一問題可能對於發現利用其它缺陷越來越困難的黑客有吸引力。他表示,緩沖區溢出和其它缺陷的利用越來越困難了,因此象這樣的設計問題引起了黑客越來越大的興趣。
WPAD並非是第一次出現問題。7 年前,微軟修正了IE 5中一個類似的問題,因為當在本地網絡上找不到代理服務器時,,它會在互聯網上繼續搜索,這使得黑客有機可乘,從而發動更大規模的攻擊。
微軟在其支持文章中列出了解決這一WPAD問題的步驟。系統管理員可以保存靜態的WPAD DNS主機名和WPAD WINS 名字記錄,黑客的WPAD名字將不再會起作用。