近年来新通用顶级域名(GTLD)的爆炸可以将企业计算机在企业网络中使用的内部域名与现在可以在公共互联网上注册的名称之间的危险。
许多公司都康明了他们的网络来使用域名,在许多情况下,在许多情况下,几年前没有使用在互联网上存在,如。办公室,.global,.network,.group,.school还有许多人。具有内部域的名称空间使得更容易找到,管理和访问系统。
问题是,在过去两年中,互联网公司为分配的名称和数字(ICANN)已批准超过900个GTLD供公众使用作为扩展努力的一部分。这可能对基于域的公司网络上使用的应用程序和协议具有意外的安全影响。
这种情况是Web代理自动发现(WPAD)协议的情况,它由本地网络上的计算机使用,以自动发现应使用的Web代理设置。
WPAD在Internet Explorer和Windows中启用了公司网络上最常见的OS浏览器组合。它也支持Mozilla Firefox,Google Chrome和Apple Safari,包括Linux和OS X,但默认情况下不使用。
计算机可以使用WPAD协议和本地DNS服务器来查找应下载和使用的WPAD.DAT代理配置文件的位置。在基于域的网络的情况下,该文件可以位于通过主机名WPAD.INTERNAL_DOMAIN.TLD访问的Web服务器上。
问题是,当计算机等计算机(例如笔记本电脑)以外的网络之外,WPAD DNS查询可以到达公共DNS服务器,因为该公司的内部DNS服务器是无法使用。
由于GTLD扩展,攻击者可以在内部注册公司使用的域名,然后主机汇位代理配置文件,然后将通过漫游笔记本电脑下载。这意味着这些计算机“Web流量将通过攻击者控制的代理服务器来传递,允许未经授权的流量检查或修改。这被称为一个中间人攻击。
要了解问题的范围,VeriSign和密歇根大学的研究人员已经分析了从2013年9月到2015年7月到2015年7月的13个全球根DNS服务器中的2个WPAD查询。VeriSign运营这两个服务器。
这些数据显示,每天有超过2000万次泄露的WPAD查询,占据服务器,占至少660万潜在的用户受害者。研究人员发现了在分析数据的情况下,在ICANN委派的738名新GTLD中的485年泄露了WPAD查询,这是委托的,在2015年8月25日。
问题可能比这更广泛,因为ICANN自8月份委派了额外的201个新的GTLD,因为分析的数据仅来自13个全局根DNS服务器中的两个。
观察到泄露的WPAD查询数量最多的GTLD是:.global,.ads,.group,.network,.dev,.office,.prod,.hsbc,.win,.world,.wan,.sap和.site。超过65%的WPAD查询泄漏来自美国的计算机。
该问题促使美国计算机紧急准备团队(US-CERT)全周期发布安全警报。该团队对网络管理员有几项建议,包括在设备设置期间禁用浏览器和操作系统中的自动代理发现,如果不需要该功能,并且公司已注册的全局DNS使用完全限定的域名,并且拥有作为根本对于企业和其他内部命名空间。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。