Víctima de ataque de colisión de nombre WPAD: posible fuga de información

Navega tus respuestas
9

Esta es una red doméstica: un enrutador Linksys inalámbrico que sirve alrededor de 5 dispositivos inalámbricos y 3 cableados, dos PC y una PS4.

El enrutador está configurado para servir DHCP a dispositivos cliente. Tiene una configuración para cambiar el dominio DNS de la red, pero viene configurado de forma predeterminada en "domain.name" de la fábrica. Esto nunca se cambió.

Desde hace unos días, una de las PC con cable (que ejecutaba Windows 10) mostraba problemas de Internet: conexión lenta, almacenamiento en búfer en videos y, a veces, directamente 404 en cada página. Internet Explorer se configuró por alguna razón para detectar la configuración del proxy automáticamente (no sé si esa es la configuración predeterminada, pero en serio espero que no sea así). Deshabilitando que solucionó el problema.

Sin embargo, durante la investigación, el navegador mostró una página "El proxy no responde", lo que me sorprendió. Afirmó que el proxy, en una IP específica, no estaba respondiendo. Luego procedí a ir a enlace con el navegador y, efectivamente, se descargó un archivo DAT, que parecía Proporcionar dos servidores proxy: uno en Madrid y otro en Estados Unidos.

¿Recuerda que el enrutador está proporcionando "domain.name" como el dominio DNS? Resulta que alguien debe haber configurado algo que sirva ese archivo DAT para WPAD en ese dominio (probablemente puedas obtener ese archivo ahora mismo, no proporcionaré un enlace por si acaso, pero probablemente puedas averiguar la URL). Supongo que esos servidores proxy dejaron de funcionar y, por lo tanto, la PC comenzó a mostrar esos problemas.

No hace falta decir que cambié el nombre de dominio en el enrutador inmediatamente.

Mi principal preocupación en este momento es múltiple:

  • ¿Existe un alto riesgo de fuga de datos sensibles? Estoy hablando de cosas bancarias (que deberían haber pasado por HTTPS, así que creo que no se verán afectadas). No sé por cuánto tiempo estuvo comprometida la PC en cuestión.
  • ¿Debo considerar el formateo de las PC o la eliminación de toda la red?
  • ¿Se podrían haber comprometido las máquinas que no son de Windows (la PS4, los dispositivos Android y una Macbook Pro)?
pregunta dhcarmona 24.11.2017 - 02:34
fuente

2 respuestas

1

Suponga que todo pudo haber sido comprometido, luego equilibre el esfuerzo de entorpecer todo contra el riesgo de rootkit / intercepción continua de datos. (y el valor de mantener esos datos confidenciales)

SSLstrip puede derrotar a HTTPS fácilmente - los proxies nunca podrían haberle ofrecido una sesión de HTTPS, así que a menos que preste atención a qué partes de la página web de su banco deben estar encriptadas, y verifique que lo estén, podría haber enviado su banco datos en texto claro.

Cualquier sistema que descargue e instale software (sin exigir que el instalador tenga una firma digital confiable, específica para el proveedor del software) podría haber sido afectado; es decir. un virus que se presenta como una actualización de software se ejecuta automáticamente como sistema / raíz para instalar.

Cualquier proxy / nombre de usuario que utilice para iniciar sesión en su sistema también podría haber sido solicitado por el proxy.

    
respondido por el CGretski 09.01.2018 - 23:56
fuente
1

Lamento decir que no solo eres tú, sino que muchos usuarios de Internet no saben que enlace y enlace y las variaciones se utilizan de forma predeterminada para el descubrimiento automático de proxy. Una vez que se una a cualquier red / wifi, independientemente de la seguridad que se ofrezca para el enlace ascendente , necesitará una dirección IP servida por un servidor DHCP que le indicará su configuración de DNS 'amigable' y wpad está justo ahí, en el medio, entre usted y el resto de nosotros. ¿En quién confías?

    
respondido por el bbaassssiiee 07.04.2018 - 00:42
fuente

Lea otras preguntas en las etiquetas

¿El soporte de TLS 1.0 en CloudFront crea una vulnerabilidad cuando solo TLS 1.2 está habilitado en el lado del Origen? La detección y respuesta de inundación de Cisco ASA SYN no funciona