Knowit Secure

Vi gjør IT sikrere!

Sikre din Windows klient – WPAD

I forrige bloggpost kikket vi på hvordan vi utnytter netBIOS til å hente ut NTLM- hasher i et nettverk. I denne bloggposten skal vi se på hvordan vi kan utnytte en standard innstilling i Internet Explorer. Dette er også et vanlig funn i våre penetrasjonstester ute hos kunder.

Innstillingen jeg ønsker å utnytte nå er «automatically detect settings»:

Denne innstillingen er som standard slått på. Tanken bak denne innstillingen er at det skal være enkelt å sette opp en proxy-server i nettverket og styre klientene til den med hjelp av «Web Proxy Autodiscovery Protocol» som blir forkortet til WPAD (http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol ). Når du starter Internet Explorer så blir det forsøkt å lokalisere WPAD i en bestemt rekkefølge. Rekkefølgen i Windows er:

  1. Kontakte DHCP-server og spør etter option 252 («Auto-proxy-config»)
  2. DNS forespørsel etter WPAD.lab.net (lab.net byttes ut med det domenet du har fått tildelt av DHCP)
  3. NetBIOS forespørsel etter WPAD
  4. Direkte kobling mot WPAD

Det vil si at maskinen først forsøker DHCP og dersom den ikke får noe svar går den videre på listen sin. Helt til slutt forsøker den å gå direkte mot WPAD. Dersom maskinen står i et underdomene (underdomene.lab.net) vil den først forsøke DNS-navnet WPAD.underdomene.lab.net og deretter gå videre til WPAD.lab.net dersom den ikke får svar. Dette lar seg utnytte ved å svare når noen spør etter WPAD-navnet på samme måte som vi gjorde i forrige bloggpost (https://knowitsecure.no/2014/11/26/hvordan-sikre-din-windows-klient-netbios/ ). I dette scenarioet kan vi i tillegg til å hente ut NTLMv2-hashen klare å rute klienten via en proxy-server i sin kommunikasjon mot Internett og på denne måten klare å fange Cookies som sendes mellom klienten og servere på Internett. Dette kalles også Man-in-the-middle-angrep, eller enda kortere: MITM.

I min lab har jeg satt opp en domenekontroller som er helt standard installert med Windows Server 2012 R2 Standard Edition. Denne har DHCP, DNS og AD-rollene konfigurert i et Active Directory- domene som jeg har kalt LAB.NET. Videre har jeg installert en standard Windows 7 maskin som er innmeldt i dette domenet. På denne måten vet jeg at oppsettet er så standard som mulig fra Microsoft. Som angriper-pc benytter jeg Kali linux.


 

WPAD angrepet settes opp slik med Responder scriptet:

Konfigurasjonen av tjenester som skal være av og på settes i Responder.conf filen. Her kan du slå av for eksempel SMB server dersom du ønsker det. Etter at scriptet har kjørt en stund vil det begynne å komme inn maskiner som vil snakke med WPAD og du vil kanskje se NTLMv2-hasher og Cookier slik som her:


Noen applikasjoner sender også passordet i klartekst i cookier, noe som er lett synlig når du utnytter dette. Det finnes også moduler i Metasploit som gjør akkurat det samme som responder-scriptet.

 

Hvordan sikrer vi så Windows slik at den ikke spør etter WPAD? Svaret er at det er mange måter å løse dette på. Du kan sette opp en DNS A-record som heter WPAD som peker mot en IP, eller du kan sette opp DHCP Option 252 til å peke på en server uten å dele ut en wpad.dat fil. Problemet med begge disse er at dette bare hjelper så lenge maskinen din er i bedriftens LAN/Domene. Den beste og enkleste måten er å fjerne «Automatically detect settings» i Internet Explorer, da gjelder dette også for alle andre steder enn bare bedriftens LAN/Domene:

For å gjøre dette i et enterprise-miljø anbefales det å benytte Group policy for å gjøre dette. I min forenklede lab har jeg laget følgende OU-struktur:

For å fjerne den ønskede innstillingen ønsker jeg å sette dette pr. bruker. Derfor lager jeg en Group policy koblet til bruker-OU-en og setter innstillingen slik det kommer frem på skjermbildene under.

 

 

 

(Husk at bare de innstillingene med grønne streker er de som blir satt av Group Policy Preferences. Strekene styres med F5-F6-F7-F8.)
http://technet.microsoft.com/en-us/library/cc754299.aspx

Denne innstillingen har ingen direkte konsekvenser når den er fjernet. Det eneste som kan bli et problem er dersom du kobler deg til et gratis trådløst nettverk der de setter proxy innstillinger på maskinene på denne måten. Vi mener at slike trådløse nettverk burde unngås uansett på grunn av sikkerheten, men mer om det senere i en annen bloggpost. Når denne innstillingen er fjernet har du utført et godt tiltak som gjør Windows-klientene litt sikrere.

Link til responder script:
https://github.com/Spiderlabs/Responder

Knowit Secure tar ingen ansvar for innhold på eksterne sider.


Andre innlegg om sikkerhet i Windows:

Én kommentar på “Sikre din Windows klient – WPAD

  1. Tilbaketråkk: Hvordan sikre din Windows klient – NetBIOS | Knowit Secure

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

w

Kobler til %s

Informasjon

Dette innlegget ble postet den desember 5, 2014 av i IT sikkerhet, Windows med stikkord , , , , , .

Siste blogg innlegg

Følg oss på twitter

Skriv inn e-post adresse for å følge denne bloggen og få beskjed på mail når det er nye blogg innlegg.

%d bloggere like this: