Microsoft bestätigt Schwachstelle in der Web-Proxy-Suche

Ein Angreifer könnte Anwendern präparierte Proxy-Einstellungen unterjubeln, um deren Webverbindungen über einen eigenen Proxy umzuleiten und Daten mitzulesen. Gefährdet sind insbesondere Anwender in Unternehmen.

In Pocket speichern vorlesen Druckansicht 42 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Microsoft hat die kürzlich auf der Kiwicon veröffentlichte Schwachstelle in der Web Proxy Auto-Discovery (WPAD) in einem offiziellen Fehlerbericht bestätigt. Unter bestimmten Umständen sucht die Funktion außerhalb der definierten Domain nach WPAD-Servern, um eine Proxy-Konfiguration für den Internet Explorer zu laden. Ein Angreifer könnte etwa einen eigenen WPAD-Server im Internet platzieren und Anwendern präparierte Proxy-Einstellungen unterjubeln, um deren Webverbindungen über einen eigenen Proxy umzuleiten und Daten mitzulesen.

Die Ursache des Problems beruht auf der Art, wie Windows Hostnamen auflöst, wenn sie keinen Fully-Qualified Domain Name enthalten. Das Problem tritt insbesondere bei Third Level Domains wie contoso.co.us und dazugehörigen Sub-Domains wie corp.contoso.co.us auf. Das WPAD-Protokoll stellt der Domain das Prefix wpad voran und sucht nach wpad.corp.contoso.co.us. Antwortet kein Server, so versucht es unter wpad.contoso.co.us einen Server zu finden. Scheitert auch dies, ruft es wapd.co.us auf, was außerhalb der definierten Domain liegt.

Microsoft weist darauf hin, dass – entgegen der Aussage des Entdeckers der Schwachstelle, dass Hunderttausende von neuseeländischen PCs von dem Problem betroffen sind – Heimanwender in der Regel kein DNS-Suffix auf ihrem System konfiguriert haben und kein Mitglied einer Domain seien. Da die Suche dann immer lokal ins Leere läuft, seien diese Rechner nicht verwundbar. Zwar gibt es von einigen Providern verbindungsspezifische DNS-Suffixe, allerdings sollen diese Konfigurationen trotzdem nicht verwundbar sein.

Betroffen ist zwar der Internet Explorer 5.01, 6 und 7 unter Windows 2000 (SP4), XP SP2, Server 2003 SP1 und SP2 und Vista. Ob nun aber der Browser oder Windows Schuld ist, schreiben die Redmonder nicht. Und ob es ein Update geben wird, lässt Microsoft ebenfalls offen. Als Workaround schlägt Microsoft vor, die Proxy-Konfigurationen über DHCP zu verteilen oder die Einstellungen manuell fest einzutragen. Zudem sucht der PC keinen WPAD-Server, wenn die Option "Automatische Suche der Einstellungen" unter Extras/Internetoption/Verbindungen/LAN-Einstellungen/ deaktiviert ist.

Bereits 1999 gab es ein ähnliches Problem mit dem Internet Explorer 5.01, der bei der Suche nach einem WPAD-Server außerhalb der gedachten Domain landen konnte. Zuletzt gab es im März 2007 Probleme mit WPAD im Internet Explorer 6.

Siehe dazu auch:

(dab)