الکس چپ من و پاول استون از Context که یک شرکت مشاوره امنیتی سایبری در انگلستان است، روش حمله جدیدی با استفاده از پروتکل WPAD و پروندههای PAC پیدا کردند که باعث سرقت اطلاعات مربوط به وبگاههای HTTPS میشود که کاربر از آنها بازدید کرده است.
این کشف مورد دیگری از بهرهبرداری است که از پروتکل ناامن WPAD استفاده میکند.
WPAD مخفف «کشف خودکار پروکسی وب» است و پروتکلی است که برای انتشار پیکربندیهای پروکسی در سرتاسر شبکه مورد استفاده قرار میگیرد. این عملیات انتشار با استفاده از پیکربندیهای پروکسی به نام پروندههای PAC، یا پیکربندیهای خودکار پروکسی انجام میشود که پیش از اینکه مقصد مرورگرها یا دیگر برنامههای اتصال به اینترنت ردیابی شود، دریافت میکنند.
این حمله آدرس کامل URL برای وبگاههای HTTPS را به دست میدهد. چپ من و استون میگویند مهاجمی که روی یک شبکه آلوده باشد میتواند از آن برای انتقال پروندههای PAC و تزریق محتوای حاوی کد مخرب خود استفاده کند. کارگزارها ممکن است برای انتقال پروندههای پیکربندی پروکسی بهجای استفاده از HTTPS از HTTP استفاده کنند.
محققان توضیح دادند که یکی از دستورالعملهای موجود PAC به مهاجم اجازه میدهد URL کامل یک وبگاه HTTPS را به دست آورد که ممکن است بدان دسترسی داشته باشند. بهطور معمول، وقتی شخصی سعی میکند ترافیک HTTPS را به سرقت ببرد، تنها بخشی از آدرس URL یعنیhttps://domain-name.com را میتواند ببیند.
این حمله به مهاجمان اجازه میدهد آدرس کامل URL را به دست آورد مانند https://domain-name.com/page/about/something.html.
این حمله ممکن است به خطرناکی حملات BadTunnel یا Hot Potato نباشد، اما راهی ساده برای جمعآوری تاریخچه ترافیک وب هدف مورد نظر از طریق شکست محافظت ارائه شده توسط ترافیک HTTPS است.
اپل و گوگل این مشکل را برطرف کردهاند، اما مایکروسافت آن را وصله نکرده است.
این اشکال بر روی تمامی سامانههای عامل تأثیر میگذارد چرا که تمامی آنها از پروندههای PAC و WPAD پشتیبانی میکنند. محققان امنیتی تمامی شرکتها را از این موضوع مطلع کرده و برخی از آنها وصلههایی برای محصولاتشان منتشر کردهاند که روش عملکرد پروندههای PAC و WPAD را وصله میکنند ازجمله وصلهای که اپل که برای iOS و OSX و گوگل برای اندروید و کروم منتشر نمودهاند.
دو محقق پیشنهاد دادند که کاربران ویندوز اگر از WPAD روی شبکه خود استفاده نمیکنند آن را خاموش کنند، چرا که از این پروتکل تنها روی شبکههای شرکت با دیواره آتش قوی استفاده میشود.
کاربران ویندوز روی شبکههایی که از WPAD و PAC استفاده کردهاند باید گزینه پیشفرض «تنظیمات شناسایی خودکار» را در بخش تنظیمات LAN غیرفعال کنند.