被微软列为“重要”等级的MS09-008安全补丁, 能让IT管理者在Windows的DNS设立WPAD。 若IE或火狐浏览器配置为“自动侦测设定”, 浏览器就会连接到指定的代理服务器。 对于想要设立自己的代理服务器以监督员工网络使用状况, 或保证网络安全的企业而言, 这是一项有用的功能。 但它也能造成所谓的中间人攻击, 如果攻击者能够透过动态的的DNS修改所设立WPAD, 就能将网络重定向到指定的恶意网站。
安全研究人员指出在DNS没有WPAD的系统, 微软的更新可阻挡WPAD隐患, 然而对于已经有WPAD的系统, 这项更新则完全无效。
安全补丁MS09-008发布后, 很多人表示该更新中的WPAD(CVE-2009-0093)并没有效, 但实际上这是个很重要的更新, 用户必须尽快修复该补丁。
这个安全更新解决了很多不同的漏洞问题, 以抵御不同攻击媒介:
1. DNS服务器查询验证漏洞(CVE-2009-0233)
2. DNS服务器相应验证漏洞(CVE-2009-0234)
3. WPAD注册中的DNS服务器漏洞(CVE-2009-0093)
4. WPAD WINS服务器注册漏洞(CVE-2009-0094)
DNS服务器查询和相应验证漏洞
CVE-2009-0233和CVE-2009-0234是两个严重漏洞, 攻击者可以利用这两个漏洞通过发布专门制作的DNS查询以欺骗DNS响应。
DNS交易ID是识别单个DNS交易的唯一标识, DNS服务器使用该ID来确定对查询的响应是否为合法, 当交易ID是可预见时, 攻击者就可以欺骗对服务器发出的DNS查询的有效响应, 这样就能向DNS缓存引入任意地址。
在这两个漏洞中, 服务器并没有缓存特定类型的DNS响应, 从而使攻击者能够让DNS服务器不断要求特定资源记录(RR, Resource Record), 这样攻击者就能够找出正确的交易ID和源端口组合并成功欺骗响应。 该安全更新可以解决这个问题, 通过提高DNS缓存和重复使用对这些特定类型查询的能力。
WPAD注册中的DNS服务器漏洞
CVE-2009-0093 发现了这样的问题, 即攻击者可以如何滥用Web Proxy Auto-Discovery(WPAD)以及Intra-Site Automatic Tunnel Addressing Protocol(ISATAP)。
这通常涉及地方域攻击, 在域成员之间存在一定程度的信任关系, Windows DNS服务器可以让客户端使用动态更新注册在DNS服务器上的主机名。 最常见的情况下, 这通常需要使用安全动态更新, 当客户端在域进行身份验证时可以更新其在DNS服务器上的名称。 如果WPAD或者ISATAP名称还没有注册, 域验证后的用户可以将自己的机器注册为这两个名字中任何一个。
为什么说ISATAP和WPAD是攻击者选择注册的名称呢?这是因为这两个默认名称通常被认为是客户端用来解决获取具体功能问题的, WPAD可以告诉主机如何为代理服务器配置信息进行连接, 而ISATAP指向连接Ipv6主机和IPV4网络的隧道服务器。
WPAD通常是作为公用的企业级功能, 正因为如此, 微软公司在发布这个更新时也特别小心, 因为既要保护客户, 又不能破坏客户依赖的功能。
这个安全更新可以通过在DNS服务器上阻止列表来保护客户, 这个阻止列表包含DNS服务器不再解决的功能名称列表, 该列表按照以下注册表项部署:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\QueryBlockList
如果当安装该安全更新时发现WPAD和ISATAP名称并没有被注册, 阻止列表将会添入这两个名称, 当客户端对这些名称发送查询时, DNS服务器将会返回否定答复, 即使当攻击者已经注册了这两个名称。
然而, 如果当安全更新之前DNS服务器已经有了WPAD或者ISATAP的表项, 那么这两个名称将不会被列入阻止列表, 并将继续回复响应。 例如, 如果DNS服务器有一个资源记录配置命名为WPAD, 安全更新只会将ISATAP加入阻止列表, 如果DNS服务器没有配置WPAD或者ISATAP, 阻止列表将会包含这两个名称。
这样做是很有必要的, 因为很多windows用户合法地使用这个功能, 部署阻止列表可以在所有情况下阻止这些名称, 需要管理员手动删除将会破坏这些配置。
有一名安全研究人员提出这样的顾虑, 攻击者可能已经通过动态DNS更新引入了恶意WPAD表项, 当发生类似攻击后再安装这个安全更新时, WPAD名称将不会被列入阻止列表, 而攻击也将继续有效。
这不是微软公司发布这些安全更新或者任何安全更新旨在解决的问题, 安全更新旨在帮助保护系统免受未来攻击, 而不能阻止正在进行或者已经发生的攻击, 这些工薪并不能积极改变目前的配置。 当安全这些更新时, 并没有办法知道是否已经由管理员或者攻击者配置了WPAD表项。
担心这种问题发生的用户可以验证分配给DNS区域中现有WPAD或者ISATAP条目的IP地址, 通过使用DNS MMC管理单元:
1. 从管理工具组打开DNS MMC管理单元;
2. 展开“正向搜索区域”;
3. 对于每个区域, 寻找Host (A)、IPv6 address (AAAA)或者Alias (CNAME)记录中有WPAD或者ISATAP的记录。
WPAD WINS服务器注册漏洞
CVE-2009-0094 涵盖了与WPAD注册中DNS服务器漏洞相同的漏洞, 但是使用的是WINS, WPAD配置客户端可以查询主机, 通过找出WINS(而不是DNS)中的WPAD名称。 这个安全更新将会部署WINS阻止列表, 预先加入了WPAD、“WPAD”和“ISATAP”名称, 除非这些名称已经位于现有WINS数据库中, WINS阻止列表通过下列注册表项部署:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WINS\Parameters\QueryBlockList
用户可以使用WINS MMC管理单元来验证WPAD名称是否已经在WINS数据库中注册:
1. 从管理员工具组打开WINS MMC
2. 右键单击“Active Registrations”并选择“Display records”
3. 在“Record Mapping”选项卡选中“Filter records matching this name pattern”并输入“wpad”
任何WPAD名称注册都会显示在“Active Registrations”窗口中。
请注意, WINS阻止列表与DNS列表是完全独立的, 这两个阻止列表并不会在多个服务器上复制。
漏洞相关信息介绍与下载中心:
http://www.microsoft.com/china/technet/security/bulletin/ms09-008.mspx
Microsoft 安全公告 MS09-008 - 重要
此安全更新可解决 Windows DNS 服务器和 Windows WINS 服务器中两个秘密报告的漏洞和两个公开披露的漏洞。 这些漏洞可能会允许远程攻击者将 Internet 上针对系统的网络通信重定向至攻击者自己的系统。
对于 Microsoft Windows 2000 Server、Windows Server 2003 以及 Windows Server 2008 的所有受支持版本, 此安全更新等级为“重要”。
此安全更新通过更正 Windows DNS 服务器缓存和验证查询的方式, 以及修改 Windows DNS 服务器和 Windows WINS 服务器处理 WPAD 和 ISATAP 注册的方式来消除这些漏洞。
建议。 大多数客户均启用了“自动更新”, 他们不必采取任何操作, 因为此安全更新将自动下载并安装。 尚未启用“自动更新”的客户必须检查更新, 并手动安装此更新。
对于管理员、企业安装或者想要手动安装此安全更新的最终用户, Microsoft 建议客户使用更新管理软件尽早应用此更新或者利用 Microsoft Update 服务检查更新。
受影响的软件
Microsoft Windows 2000 Server Service Pack 4 上的 DNS 服务器
Microsoft Windows 2000 Server Service Pack 4 上的 WINS 服务器
Windows Server 2003 Service Pack 1 和 Windows Server 2003 Service Pack 2 上的 DNS 服务器
Windows Server 2003 Service Pack 1 和 Windows Server 2003 Service Pack 2 上的 WINS 服务器
Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2 上的 DNS 服务器
Windows Server 2003 x64 Edition 和 Windows Server 2003 x64 Edition Service Pack 2 上的 WINS 服务器
Windows Server 2003 SP1(用于基于 Itanium 的系统)和 Windows Server 2003 SP2(用于基于 Itanium 的系统)上的 DNS 服务器
Windows Server 2003 SP1(用于基于 Itanium 的系统)和 Windows Server 2003 SP2(用于基于 Itanium 的系统)上的 WINS 服务器
Windows Server 2008(用于 32 位系统)上的 DNS 服务器
Windows Server 2008(用于基于 x64 的系统)上的 DNS 服务器
不受影响的软件
Windows 2000 Professional Service Pack 4
Windows XP Service Pack 2 和 Windows XP Service Pack 3
Windows XP Professional x64 Edition 和 Windows XP Professional x64 Edition Service Pack 2
Windows Vista 和 Windows Vista Service Pack 1
Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1
Windows Server 2008(用于基于 Itanium 的系统)
