网络通讯被劫持 Windows又爆新漏洞

　　上周六，信息安全研究人员宣称， Windows电脑获取网络的设定方式能够让攻击者们劫持网络通讯。

　　IOActive安全公司的研究人员在ShmooCon黑客会议上认为：问题的症结在于计算机在获取代理设置时的一个设计缺陷。

　　在发布这个漏洞后，IOActive公司研究与开发部门的主管ChrisPaget在访问中谈到：“其结果是黑客可以在你不知情的情况下变成你的代理服务器，在网络中张贴一个相当于“绕道行驶”的指路牌，就可以使你的网络通讯全部改向。”

　　黑客之所以能建立那个“绕道行驶”的指路牌是因为Windows IE 使用默认的 “网络代理服务器自动发现协议”（WebProxyAutodiscoveryProtocol，WPAD）来查找代理服务器。结果造成，黑客可以在一个使用“因特网命名服务”（Windows InternetNaming Service，WINS）和其他网络服务包括“域名伺服器”（ DomainNameSystem，DNS）的网络上，轻松地注册一个代理服务器。当IE运行时，它会问网络代理服务器在哪儿。你就会很轻易地举手报道:“我在这里。”

　　上周六，微软公司在它的TechNet网站上发表的一篇支持文章里承认了这个问题。文章中说，“如果一个实体能在DNS或者WINS里秘密地注册一个WPAD入口。客户端就极有可能让他们的因特网信息通过一个恶意的代理服务器。”

　　如果黑客攻击成功，网络上全部的信息都将通过攻击者的代理服务器。这就意味着攻击者能访问全部数据，使数据改变流通方向，任意操纵数据并且进行各种其他的恶毒行为。

　　Paget和他的伙伴——IOActive安全专家DanKaminsky认为代理问题还不算是一个严重的安全问题。他们指出，只有进入到目标网络而不是泛指的英特网，攻击才有可能成功。Paget说：“在一个公司里面的最大的危险将来自一个存心不良的内部人士，所以这并不值得群众恐慌或者任何评论性的报告。”

　　但这也不是说没有必要去解决这个问题。内部人士的威胁是存在的。此外，Kaminsky认为代理方面的缺陷可能会吸引越来越难以发现系统其他漏洞的攻击者。缓冲区溢出和其他的漏洞要花费相当多的精力去攻克，因此像这样的设计缺陷已经吸引了黑客们的广泛关注。

　　关于WPAD的问题也并不是刚刚出现的。7年以前微软公司就因为IE5.0的问题，而给它打过补丁。如果浏览器不能在它的本地局部网上找到代理服务器，它就会在因特网上自动搜索一台代理服务器，。这就给某些存心不良的黑客机会改变浏览器的一些设置，从而可以进行更大范围的攻击。

　　这样的问题被一些黑客所利用，他们注册了一个名为“wpad.org.uk”的网站，并在上面存放了一个名为“wpad.dat”的文件，这个文件中包含了为那些试图想要查找网络代理服务器信息WINDOWS电脑所专门准备的伪造信息。结果造成使用那些计算机的人们不管在浏览器中输入任何地址，最终进入的是一个在线的拍卖网站。

　　在微软公司的支持文章中，列出了网络管理员处理WPAD 问题的相关步骤。 这些步骤保留了静态WPADDNS主机名，并且保留了WPADWINS的命名记录。因此，恶意攻击者的WPAD将不能工作，从而挫败了他们的诡计。