WPAD Nedir? Neden Devre Dışı Bırakmalısınız?

Güvenlik araştırmacıları kişisel verilerinizi sızdırabilecek büyük bir Windows güvenlik açığı buldu.

Güvenlik araştırmacıları Windows kullanan herkesi “Web Proxy Auto-Protocol (WPAD)” özelliğini devre dışı bırakmaları konusunda uyarıyor. WPAD kullanıcıların çevrimiçi hesaplarını, web aramalarını, kişisel bilgilerini, hatta bağlantı türünü bile açığa çıkarabiliyor.

Otomatik proxy bulma protokolü (WPAD) 1999’da Microsoft tarafından icat edildi. WPAD bilgisayarların girilmek istenen URL’ye erişmek için hangi proxyi kullanması gerektiğini buluyor.

Yani eğer dizüstü bilgisayarınız sürekli kullandığınız ortamdan başka bir yere götürürseniz, bilgisayarınız WPAD kullanarak proxy araması yapacak.

Bahsi geçen protokol bütün web tarayıcılarında destekleniyor, ayrıca Windows, Mac ve Linux işletim sistemlerinde, iOS ve Android cihazlarda da bulunuyor. Fakat WPAD Windows’ta varsayılan olarak aktif geliyor.

WPAD Bütün Çevrimiçi Servislerinizi Saldırıya Açık Hale Getiriyor

WPAD protokolünün yararlı olduğu kuşkusuz, fakat kolayca ele geçirilebilir. Saldırganlar kurbanın web tarayıcısında neler olduğunu ve daha birçok şeyi görebilir.

İngiliz firma Context Information Security (CIS) araştırmacıları yeni bir problem buldular. WPAD güvenli HTTPS üzerinde bulunan URL adreslerine sızmak için kullanılabilir. Yani saldırganlar, özellikle sizin kolayca giriş yapabilmek için şifrelerini tarayıcınıza kaydettiğiniz Facebook, Twitter, Gmail gibi hesaplarınızı çalabilir.

Araştırmacılar yapılabilecek bir saldırıda, saldırganların zararlı bir Javascript ve zararlı bir PAC script kullanarak HTTPS URL’lerine ulaşıp, DNSContext Information Security üzerinden yanıtları yönetebilir.

HTTPS’nin amacı web trafiğinin şifreli olması, zaten günümüzde birçok web site HTTPS kullanıyor. Bu sebeple eğer WPAD protokolünü çalabilecek sahte bir web proxysisi bile olsa, saldırgan HTTPS’in şifrelemesi yüzünden tarayıcı üzerinde yapılan işlemleri görememeli.

Ancak CSO’ya göre, araştırmacılar Alex Chapman ve Paul Stone bir Python script aracılığı ile HTTPS URL’nin tamamını görebildiklerini fark ettiler. Bu da demek oluyor ki saldırgan kimlik doğrulama tokenlarını ve diğer hassas parametreleri görebilir, sonrasında ise bu bilgileri kullanabilir.

Bahsi geçen bu açığı kullanarak araştırmacılar kurbanın birçok servisteki kullanıcı adlarını, Facebook fotoğraflarını hatta e-mail özetlerini çalmayı başardı. Daha büyük bir tehlikeden bahsetmemiz gerekirse, bu saldırı ile ele geçebilecek Google Drive dosyalarınızdan bahsedebiliriz.

Eğer WPAD özelliğini tamamen devre dışı bırakmak isterseniz tıklayın.

Kaynak: ibtimes.co.uk