Ieri sera è stato emesso il "Microsoft Security Advisory (945713) - Vulnerability in Web Proxy Auto-Discovery (WPAD) Could Allow Information Disclosure" per avvisare dell'attuale fase di investigazione su questa vulnerabilità segnalata pubblicamente, al momento non sfruttata per attacchi. Cerco di aiutarvi a comprendere la possibile vulnerabilità e il rischio relativo, dal momento che l'advisory è alquanto articolato. In soldoni, il rischio che si corre è che il malintenzionato di turno possa mettere in piedi un Proxy server ad-hoc e organizzarsi per dirottare il vostro traffico Internet verso questo Proxy illegittimo, permettendo così un attacco di man-in-the-middle (il cui effetto più immediato potrebbe essere l'information disclosure del traffico così dirottato). Come è possibile ottenere questo dirottamento? Sfruttando maliziosamente un comportamento legittimo della funzionalità WPAD (che permette al client di impostare automaticamente un Proxy), in una particolare situazione. Il comportamento legittimo è quello che porta un client ad operare la cosiddetta devolution in caso debba risolvere un nome di dominio a singola etichetta: il client appende al nome a singola etichetta (che nel caso della funzionalità WPAD è proprio "wpad") il suffisso DNS che ha nella sua configurazione per ottenere un FQDN e iniziare a contattare i server DNS per risolvere questo nome. Esempio: il client ha configurato un suffisso DNS, diciamo "contoso.co.us", e alla partenza della navigazione Internet, quando si deve cercare automaticamente un Proxy, il client comincia a contattare il server DNS alla ricerca del server "wpad.contoso.co.us", e non trovandolo opera una devolution (sale di livello, riducendo il numero di etichette) chiedendo "wpad.co.us". Cosa c'è di rischioso in questa situazione? Che la prima richiesta viene gestita "in casa", dal nostro dominio DNS aziendale, mentre la seconda è diretta ad un dominio esterno, dove il malintenzionato si può organizzare per piazzare un server "wpad" illegittimo e rispondere alla query per diventare il vostro Proxy di riferimento. Se avete seguito il filo logico avete intuito quali sono le condizioni che devono essere soddisfatte contemporaneamente per realizzare questo scenario: l'uso della funzionalità WPA (chi non la usa non è a rischio), la presenza di un suffisso DNS nella configurazione del client (chi non ce l'ha non è a rischio), un suffisso DNS che sia almeno di 3 livelli (con 3 o più etichette) per scatenare l'operazione di devolution (suffissi con 2 soli livelli non mettono a rischio). I requisiti indicati di fatto sono tipici dei client aziendali, non di quelli privati. Per un dettaglio più completo dei fattori che mitigano il rischio e dei workaround che si possono già applicare in attesa della patch correttiva vi invito a consultare l'advisory ufficiale.