Ataque del servidor WPAD Rogue

4

Hoy me encontré con algo que ciertamente no había visto antes de primera mano. Nuestro IDS bloqueó algunos intentos de tráfico saliente de 5 servidores sin acceso a WAN. Este tráfico conducía a una dirección inactiva que aloja un archivo wpad.dat inexistente. 208.91.197.132/wpad.dat es la dirección y el archivo.

Estos dispositivos no utilizan DHCP y, por lo tanto, no pudieron haber accedido a un registro incorrecto. El DNS que utilizan estos dispositivos parece estar sin envenenar. Lo único que me queda, y lo que predigo, es que WPAD confía en la transmisión de NetBIOS para encontrar un servidor WPAD, que luego se reenvía a la dirección anterior.

El IDS bloqueó los intentos que comenzaron hace 2 días, aproximadamente cada hora, y los registros de bloqueo de IDS coincidieron perfectamente con las solicitudes http de WSUS salientes.

No hay ninguna infección para la que tengamos definiciones en los hosts afectados.

¿Alguna idea? En este punto, creo que un dispositivo se abrió camino en la red y WPAD lo detectó.

No, no estamos ejecutando IE 5.0 :)

    
pregunta MildotPhil 21.02.2015 - 09:55
fuente

1 respuesta

2

ataque WPAD es un ataque común La técnica entre los probadores de penetración (y los atacantes) generalmente se realiza en el segmento de red donde se pueden encontrar estaciones de trabajo. Hacer un ataque WPAD en los servidores puede tener sentido, pero no es común. P.ej. Puede haber un mecanismo de actualización automática que descarga regularmente algo de Internet. Pero como dijiste, tus servidores no tenían acceso WAN.

Y sí, el escenario más probable es que hubiera un dispositivo en la red que respondiera a las solicitudes WPAD. En el futuro, siga las mejores prácticas y registre el nombre de host WPAD en su servidor DNS local y, a la vez, deshabilite "Detectar automáticamente la configuración del proxy" en las máquinas cliente y servidor.

    
respondido por el user2716262 18.08.2015 - 12:31
fuente

Lea otras preguntas en las etiquetas