Windows-lek opent omleiding voor surfers

Blue-Sky · 27 maa 2007, 10:38

<img src="http://upload.userbase.be/upload/051201_explorer_kl.jpg" align="left" width="120" height="100">Een nieuw lek in Windows kan relatief gemakkelijk door hackers worden gebruikt om surfers om te leiden via malafide sites. Ze kunnen ook ongemerkt internetverkeer inzien en manipuleren. Het probleem werd door het beveiligingsbedrijf IOActive afgelopen weekend op de ShmooCon-hackersconferentie in Washington aangekaart. Het zwakke punt zit in het Web Proxy Autodiscovery Protocol (WPAD), een protocol dat aangesproken wordt bij het opstarten van Internet Explorer.

De browser gebruikt WPAD om op het netwerk te zoeken naar het bestand wpad.dat, dat op zijn beurt verwijst naar een proxy-server. Zo'n server zou in principe het surfen moeten versnellen.

Het blijkt nu dat een aanvaller wpad.dat kan manipuleren om Internet Explorer naar een proxy-server in zijn beheer te sturen. Wanneer de malafide proxy gekoppeld is aan de browser, wordt al het internetverkeer eerst langs deze server omgeleid. De kans is klein dat de surfer de omleiding opmerkt.

Microsoft is op de hoogte van het probleem en publiceerde afgelopen zaterdag een artikel met kunstgrepen die netwerkbeheerders kunnen uitvoeren om een WPAD-kaping te voorkomen.

In theorie is het lek bruikbaar om gevoelige gegevens van surfers te onderscheppen. Gelukkig zijn er enkele hinderpalen die voorkomen dat de kwetsbaarheid een ernstig gevaar wordt. Zo kan het aanbieden van een malafide proxy via WPAD enkel vanaf hetzelfde netwerk als dat waar de surfer op zit. Een algemene aanval met als oorsprong het internet kan dus niet. Volgens IOActive schuilt het grootste gevaar bij insiders die in een bedrijfsnetwerk de hack uitvoeren.

Het is niet de eerste keer dat WPAD een fout blijkt te bevatten. Zeven jaar geleden bracht Microsoft een update uit voor IE5, nadat een succesvolle aanval gekaapte pc's omleidde naar een veilingsite.

Bron: zdnet.be van 27 maart 2007

Blue-Sky · 27 maa 2007, 12:41

<img src="http://www.userbase.be/forum/files/gemiddeld_risico.jpg" width="498" height="290">

Deze waarschuwing krijg ik af en toe.

Daarom beantwoord ik dat steeds met Blokkeren.

(screenshot wat ik al eerder gemaakt had, op Ma Jan 22, 2007 8:49 am)

27 maa 2007, 12:55

Waarom heb ij ccProxy geïnstalleerd? Lijkt me sterk dat je dat bewust hebt gedaan en ik denk dat je last hebt van beestjes!

Limburg · 27 maa 2007, 13:08

ccproxy.exe beestjes? - http://www.peterkoelewijn.nl/songteksten/beestjes.html

http://www.auditmypc.com/process/ccproxy.asp

Cyperken · 27 maa 2007, 15:06

Is het probleem dan enkel gerelateerd tot IE of het OS Windows in zijn geheel?

Blue-Sky · 27 maa 2007, 15:46

meon schreef:Waarom heb ij ccProxy geïnstalleerd? Lijkt me sterk dat je dat bewust hebt gedaan en ik denk dat je last hebt van beestjes!

Ik hoop van niet, met die beestjes,...vele beestjes...(uit de eerste link van Limburg)

)
Wat ik wel eens nagekeken heb, bij geavanceerde instellingen.
HTTP 1.1 gebruiken met behulp van een proxyverbinding het hokje uitgevinkt

Heb even de PC uitgeschakeld en opnieuw opgestart, met of zonder dat vinkje, zelfde resultaat.
(vrij veilig met Norton)
Laat die Anti Norton members maar lachen !

Cyperken schreef:Is het probleem dan enkel gerelateerd tot IE of het OS Windows in zijn geheel?

Enkel aan IE zal dat niet liggen, zie tekst in de topic-start

Microsoft is op de hoogte van het probleem en publiceerde afgelopen zaterdag een artikel met kunstgrepen die netwerkbeheerders kunnen uitvoeren om een WPAD-kaping te voorkomen.

Trouwens die link welke Limburg geplaatst heeft,...
http://www.auditmypc.com/process/ccproxy.asp
Betrouw ik niet 100 %, is me niet duidelijk wie de uitgever is, maar ik niet denk dat symantec is.
(voorzichtigheid is de moeder van de porselein winkel)

Die Spammfighter firma zegd me niets.

defenderII · 27 maa 2007, 16:22

ik gebruik privoxy, deze werkt enkel op 1 proxy adres als dit wordt veranderd kan er niet meer op het net worden gegaan. ==> als de proxy zou worden veranderd merkt men dat direct op.

Limburg · 27 maa 2007, 17:20

Blue-Sky schreef:Trouwens die link welke Limburg geplaatst heeft,...
http://www.auditmypc.com/process/ccproxy.asp
Betrouw ik niet 100 %, is me niet duidelijk wie de uitgever is, maar ik niet denk dat symantec is.
(voorzichtigheid is de moeder van de porselein winkel)
Die Spammfighter firma zegd me niets.

En je hebt gelijk!
Ik bedoelde met deze pagina alleen maar de informatie te geven dat cproxy onderdeel uitmaakt van het symantec/norton pakket. (locatie c:\Program Files\Common Files\Symantec Shared\ccProxy.exe) Niet om op die link in de pagina te gaan klikken (had ik niet eens gezien) om het te "repareren!.
De vraag is waarom ccproxy naar buiten wil.
Het kan een volkomen legitieme reden hebben, maar van even googlen begreep ik dat door externe software misbruik van de proxy gemaakt kan worden (de beestjes van meon?)
Ik heb norton niet, noch ervaring er mee. (gebruik al jaren gratis AVG)

Dus graag advies van iemand die Norton wel goed kent.

ubremoved_539 · 29 maa 2007, 13:52

WPAD schakel je ook best uit als je achter een router zit... zoniet gaat hij vaak het internet aanzien als "Intranet" (onderaan in je statusbalk) wat ervoor zorgt dat je minder stricte security policies gebruikt !

Avenger · 29 maa 2007, 22:15

meon schreef:Waarom heb ij ccProxy geïnstalleerd? Lijkt me sterk dat je dat bewust hebt gedaan en ik denk dat je last hebt van beestjes!

lol wat wilt e met norton

henke54 · 05 apr 2007, 17:54

Vbootkit: Compromising Windows Vista Security

Since vbootkit becomes the part of kernel itself, it can basically do anything that the kernel could do.

http://www.rootkit.com/newsread.php?newsid=671

henke54 · 23 apr 2007, 17:16

"This is a little bit silly: just name the installer something else, and Vista lets it through," Chess said. He added that although the feature is imperfect and inconvenient, it's "better than nothing".

http://www.theregister.co.uk/2007/04/23 ... g_oddness/