Hoy me encontré con algo que ciertamente no había visto antes de primera mano. Nuestro IDS bloqueó algunos intentos de tráfico saliente de 5 servidores sin acceso a WAN. Este tráfico conducía a una dirección inactiva que aloja un archivo wpad.dat inexistente. 208.91.197.132/wpad.dat es la dirección y el archivo.
Estos dispositivos no utilizan DHCP y, por lo tanto, no pudieron haber accedido a un registro incorrecto. El DNS que utilizan estos dispositivos parece estar sin envenenar. Lo único que me queda, y lo que predigo, es que WPAD confía en la transmisión de NetBIOS para encontrar un servidor WPAD, que luego se reenvía a la dirección anterior.
El IDS bloqueó los intentos que comenzaron hace 2 días, aproximadamente cada hora, y los registros de bloqueo de IDS coincidieron perfectamente con las solicitudes http de WSUS salientes.
No hay ninguna infección para la que tengamos definiciones en los hosts afectados.
¿Alguna idea? En este punto, creo que un dispositivo se abrió camino en la red y WPAD lo detectó.
No, no estamos ejecutando IE 5.0 :)