IE Sicherheitslücken 1999
WPAD-Spoofing
Das Web-Proxy-Auto-Discovery-Feature (WPAD) erlaubt es Anwendern des Internet Explorer 5 die Proxy-Einstellungen automatisch zu ermitteln. Dazu wird ein WPAD-Server gesucht, wobei die einzelnen Level einer Domain sukzessive durchsucht werden. Findet der Internet Explorer in der aktuellen Sub-Domain keinen WPAD-Server, sucht das Programm automatisch in der nächsthöheren Domain. Dabei sucht der sukzessive alle Domains Internet Explorer inklusive der Second-Level-Domain nach einem WPAD-Server ab. Die Top-Level-Domain (.com) durchsucht der Browser nicht, da die als sicher angenommene Second-Level-Domain nicht verlassen wird.
Ein Beispiel: Eine Domain der Form "sub2.sub1.domain.com" wird in drei Schritten nach einem WPAD-Server durchsucht. Zunächst wird "wpad.sub2.sub1.domain.com" gesucht, danach "wpad.sub1.domain.com" und danach "wpad.domain.com". Hier bricht der Suchvorgang ab, die interne Domain wird nicht verlassen. Das funktioniert jedoch nicht bei einer internationalen Domain des Typs "sub.domain.com.uk". Denn auch hier wird bis zur vermeintlichen Domain gesucht: "wpad.sub.domain.com.uk", "wpad.domain.com.uk", "wpad.com.uk". Letztere liegt aber nicht mehr im sicheren Bereich der Domain. Ein potenzieller Angreifer kann also an dieser Stelle einen WPAD-Server installieren, der entweder durch falsche Proxy-Informationen das ganze Netzwerk zum Stillstand bringt, oder sich selbst als Proxy konfiguriert und so den kompletten ausgehenden Verkehr kontrollieren kann.
Die Sicherheitslücke betrifft ausschließlich den Datenaustausch mit dem WWW. Andere Dienste wie E-Mail und sichere (SSL-)Verbindungen sind nicht betroffen.
Workaround
Installieren Sie die Internet-Explorer-Version 5.5. Alternativ stellen Sie sicher, dass in ihrem Netzwerk ein WAPD-Server oberhalb der Second-Level-Domain verfügbar ist.
Datum: | 1. Dezember 1999 |
|---|---|
| |
Betrifft: | Internet Explorer 5.0 |
Wirkung: | Manipulieren der Proxy-Konfiguration |
Patch: |