ATAQUE AO PROTOCOLO WPAD

Instruções para resolução do problema que explora a vulnerabilidade.

Sistemas Afetados

  • Windows, OS X, sistemas Linux e navegadores web com WPAD habilitado
  • Redes que utilizam TLDs não registrados ou não reservados

1 – VISÃO GERAL
O ataque explora uma vulnerabilidade no protocolo WPAD (Web Proxy Auto-Discovery Protocol) do sistema operacional Windows: usa o mecanismo de descoberta automática de configurações de proxy para direcionar as conexões para um endereço malicioso na internet.

Mecanismo de funcionamento:
Diversos equipamentos de rede entregam, via DHCP, o sufixo domain.name  (DNS) como valor padrão quando um outro domínio válido não é configurado. Antigamente esse domínio não podia ser registrado na web, mas a ICANN liberou uma série de novas possibilidades de registro, então, alguém registrou domain.name e passou a utilizar para entregar a máquinas Windows um script (PAC) de configuração de proxy que redireciona conexões para domínios na web.

Assim sendo, não se trata de um problema com os roteadores ou outros equipamentos relacionado a alguma marca, mas sim, com o próprio protocolo WPAD do Windows.

Adicionamos alguns links abaixo para leitura:
https://www.us-cert.gov/ncas/alerts/TA16-144A
https://superuser.com/questions/1271111/possible-proxy-virus-monitoring-traffic-how-to-determine-cause-of-proxy-and-in
https://technet.microsoft.com/pt-br/library/cc995261.aspx
https://auth0.com/blog/heads-up-https-is-not-enough-when-using-wpad/

Obs.: Para a leitura do conteúdo acima é necessário um mínimo de conhecimento técnico, caso, não esteja capacitado a fazer tais procedimentos, recomendamos que contrate um técnico de sua confiança para fazer quaisquer procedimentos.

2 – POSSÍVEIS SOLUÇÕES
Abaixo estão listadas algumas opções para solucionar o problema. Caso ocorra alguma dúvida, entre em contato com o suporte técnico do seu equipamento e atentem para a garantia do produto.

2.1 – RESOLVER LOCALMENTE O DOMÍNIO DOMAIN.NAME
Uma solução aplicável é, na rede do próprio provedor, fazer com que os servidores DNS da rede resolvam o domínio domain.name, evitando que equipamentos Windows da rede consultem em servidores externos esse domínio ou extensões similares, por exemplo, wpad.domain.name.

2.2 – BLOQUEAR REQUISIÇÕES WPAD PARA FORA DA REDE
Bloquear conexões para endereços externos que envolvam requisições WPAD, por exemplo, tentativas de requisições para endereços do tipo http://ip_servidor:porta/wpad.dat. Para isso é necessário haver um firewall na rede, corretamente configurado.

2.3 DESATIVAR A DESCOBERTA AUTOMÁTICA DE CONFIGURAÇÕES
Nas opções de internet do Windows, acessível através do painel de controle, desmarcar a opção “Detectar automaticamente as configurações”:


Salvar as alterações e reiniciar os equipamentos.

Essa solução, apesar de ser eficaz, demanda empenho para que todas as máquinas sejam configuradas, e sempre que um outro equipamento for utilizado, terá que também ser feita a mesma alteração, uma vez que o Windows vem por padrão com essa função habilitada.

2.4 – ATUALIZAR OS EQUIPAMENTOS DE REDE E CONFIGURAR OUTRO NOME DE DOMÍNIO
Verificar se, nos equipamentos da infraestrutura que possuem serviço DHCP entregando endereços aos dispositivos da rede, há entrega de sufixo DNS.

Se houver, garantir que não seja o domain.name ou similares.

Recomenda-se alterar para um domínio local, por exemplo, meudominio.local.

Para checar qual domínio está sendo entregue aos dispositivos, através do prompt de comando do Windows, (tecla Windows + R e digitar CMD) e executar o comando ipconfig /all.

Analisar se, nos dados de conexão do adaptador que está em uso, há algum domínio indicado, por exemplo:

A recomendação é atualizar todos os produtos com essa última versão de firmware.

Entretanto, somente atualizar não faz com que as configurações sejam alteradas, portanto, recomenda-se o seguinte: nos roteadores que ainda não foram para campo, e que, portanto, podem ser resetados para o padrão de fábrica, resetar após atualizar.

Nos roteadores já em campo, onde não é desejável reconfigurar todo o produto, atualizar o firmware e em seguida:

  1. Acessar a interface web de configuração do roteador (endereço padrão) e realizar o login
  2. Alterar a interface para o modo avançado:
  3. Acessar o menu Rede local (LAN) > Servidor DHCP.
  4. Alterar e salvar o valor do campo Nome de domínio para minharede.local ou outro valor desejado:

  1. Após esses passos, nos dispositivos dos clientes (computadores, por exemplo), recomenda-se limpar o cache dos navegadores e em seguida reiniciar os dispositivos.

Caso algum dispositivo Windows ainda apresente comportamento suspeito, forçar a limpeza do cache DNS através dos seguintes comandos executados através do prompt do Windows: