Zabezpečení > Informační zpravodaje zabezpečení

Informační zpravodaj zabezpečení společnosti Microsoft (945713)

Chyba zabezpečení služby Automatického zjišťování serveru proxy (WPAD) může umožnit přístup k informacím

Publikováno: 3. prosince 2007 | Aktualizováno: 9. ledna 2008

Společnost Microsoft provádí šetření nových veřejně oznámených zpráv o chybě zabezpečení ve způsobu, jakým systém Windows řeší názvy hostitelů, které neobsahují plně kvalifikovaný název domény (FQDN). Chyba zabezpečení ovlivňuje technologii Automatického zjišťování serveru proxy (WPAD). Společnost Microsoft neobdržela žádné informace, které by naznačovaly, že tato chyba zabezpečení byla veřejně použita k útokům na zákazníky, a v současné době nemá informace o jejím dopadu na zákazníky. Společnost Microsoft provádí intenzivní šetření těchto nových veřejně oznámených zpráv. Touto chybou zabezpečení jsou ohroženi zákazníci, jejichž název domény začíná na třetí nebo ještě nižší úrovni domény, například „contoso.co.us“, nebo na které se nevztahují dále uvedené skutečnosti snižující závažnost rizika.

Po důkladném přezkoumání podnikne společnost Microsoft příslušné kroky na ochranu svých zákazníků. V závislosti na výsledcích šetření a potřebách zákazníků se může jednat o měsíčně vydávané nebo mimořádně vydané aktualizace zabezpečení.

Skutečnosti snižující závažnost rizika:

Zákazníci, kteří ve svém systému nemají nakonfigurovánu příponu primárního serveru DNS, nejsou touto chybou zabezpečení ohroženi. Domácí uživatelé, kteří nejsou členy domény, ve většině případů nemají nakonfigurovánu žádnou příponu primárního serveru DNS. Někteří poskytovatelé služeb Internetu (ISP) poskytují přípony DNS podle připojení, takové konfigurace nejsou touto chybou zabezpečení ohroženy.

Zákazníci, jejichž název domény serveru DNS je zaregistrován jako doména druhé úrovně (SLD) pod doménou nejvyšší úrovně (TLD), nejsou touto chybou zabezpečení ohroženi. Zákazníci, jejichž přípony serveru DNS tuto registraci zahrnují, nebudou touto chybou zabezpečení ohroženi. Příkladem zákazníka, který není ohrožen, je contoso.com nebo fabrikam.gov, kde „contoso“ a „fabrikam“ jsou zákazníkem registrované domény SLD pod příslušnými doménami TLD „.com“ a „.gov“.

Zákazníci, kteří zadali proxy server prostřednictvím nastavení serveru DHCP nebo DNS, nejsou touto chybou zabezpečení ohroženi.

Zákazníci mající ve své organizaci důvěryhodný server WPAD nejsou touto chybou zabezpečení ohroženi. (Konkrétní postup vytvoření souboru WPAD.DAT na serveru WPAD naleznete v části Zástupná řešení.)

Zákazníci, kteří manuálně zadali proxy server v aplikaci Internet Explorer, nejsou při používání aplikace Internet Explorer touto chybou zabezpečení ohroženi.

Zákazníci, kteří v aplikaci Internet Explorer zakázali možnost „Automaticky zjišťovat nastavení“, nejsou při používání aplikace Internet Explorer touto chybou zabezpečení ohroženi.

Obecné informace

Přehled

Účel tohoto informačního zpravodaje: Poskytnout zákazníkům první upozornění na veřejně oznámenou chybu zabezpečení, skutečnosti snižující závažnost rizika a zástupná řešení. Další informace získáte v části Doporučené postupy tohoto informačního zpravodaje.

Stav informačního zpravodaje: Zjišťuje se

Doporučení: Přečtěte si navrhované akce a podle potřeby proveďte konfiguraci.

OdkazyIdentifikace

Odkaz na seznam CVE

CVE-2007-5355

Článek znalostní báze Microsoft Knowledge Base s číslem

945713

Tento informační zpravodaj se vztahuje k následujícímu softwaru.

Související software

Microsoft Windows 2000 Service Pack 4

Windows XP Service Pack 2

Windows XP Professional x64 Edition a Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2

Windows Server 2003 SP1 pro systémy s procesorem Itanium a Windows Server 2003 SP2 pro systémy s procesorem Itanium

Windows Server 2003 x64 Edition a Windows Server 2003 x64 Edition Service Pack 2

Windows Vista

Windows Vista x64 Edition

Internet Explorer 5.01 Service Pack 4 v systému Microsoft Windows 2000 Service Pack 4

Internet Explorer 6 Service Pack 1 v systému Microsoft Windows 2000 Service Pack 4

Internet Explorer 6 pro systém Windows XP Service Pack 2

Internet Explorer 6 pro systém Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2

Internet Explorer 6 pro systém Windows Server 2003 SP1 pro systémy s procesorem Itanium a Windows Server 2003 SP2 pro systémy s procesorem Itanium

Internet Explorer 6 pro systém Windows Server 2003 x64 Edition a Windows Server 2003 x64 Edition Service Pack 2

Internet Explorer 7 pro systém Windows XP Service Pack 2

Internet Explorer 7 pro systém Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2

Internet Explorer 7 pro systém Windows Server 2003 SP1 pro systémy s procesorem Itanium a Windows Server 2003 SP2 pro systémy s procesorem Itanium

Internet Explorer 7 pro systém Windows Server 2003 x64 Edition a Windows Server 2003 x64 Edition Service Pack 2

Internet Explorer 7 pro systém Windows Vista

Internet Explorer 7 pro systém Windows Vista x64 Edition

Na začátek sekceNa začátek sekce

Nejčastější dotazy

Co je cílem tohoto informačního zpravodaje?
Společnost Microsoft si je vědoma této nově zjištěné chyby zabezpečení postihující technologii Automatického zjišťování serveru proxy (WPAD), funkci systému Microsoft Windows. Chyba zabezpečení postihuje software uvedený v části „Přehled“.

Co znamenají termíny použité v tomto informačním zpravodaji?
Pro lepší vysvětlení povahy této chyby zabezpečení jsou dále uvedeny stručné definice klíčové terminologie použité v tomto informačním zpravodaji:

Doména nejvyšší úrovně (TLD): Poslední část názvu internetové domény. Jedná se o písmena, která následují po poslední tečce jakéhokoli názvu domény. Například v názvu domény wpad.western.corp.contoso.co.us je doménou TLD přípona „.us“. Domény TLD lze primárně rozdělit na dva typy: kód země a obecné. Domény TLD s kódem země jsou dvoupísmenné zkratky pro každou zemi. V tomto případě je .us zkratkou Spojených států amerických. Obecné domény TLD jsou tradičnější rozpoznatelné tří- (a více-) písmenné zkratky, např. přípony .com, .net, .org atd. Úplný seznam všech dostupných domén TLD najdete v následujícím seznamu asociace IANA.

Domény druhé úrovně (SLD): Doména, která se nachází přímo „pod“ doménou TLD nebo nalevo od ní. V předchozím příkladu adresy wpad.western.corp.contoso.co.us je doménou SLD přípona „.co“. Nejčastěji se domény SLD registrují pod doménami TLD s kódem země. Spojené státy primárně používají doménu SLD pro registraci státu, např. „.co.us“ je příponou pro stát Colorado. Domény SLD, které nejsou doménami Spojených států, často opakují běžné názvy domén TLD, např. příponu „.com.sg“.

Jakým způsobem tato funkce pracuje?
Funkce Automatického zjišťování serveru proxy (WPAD) umožňuje webovým klientům automaticky zjišťovat nastavení serveru proxy, aniž by uživatel musel nějak zasahovat. Funkce WPAD uvede u plně kvalifikovaného názvu domény před názvem hostitele „wpad“ a postupně odstraňuje subdomény, dokud nenajde takový server WPAD, který odpovídá názvu domény. Například weboví klienti v doméně western.corp.contoso.co.us by odeslali dotaz na wpad.western.corp.contoso.co.us, wpad.corp.contoso.co.us a pak na wpad.contoso.co.us. Tento postup se nazývá zobecňování. Další informace o službě klienta DNS a zobecňování najdete v následujícím článku MSDN v části Rozlišování jednomístných názvů nekvalifikovaných domén.

Jaká je příčina tohoto ohrožení?
Uživatel se zlými úmysly by mohl být hostitelem serveru WPAD, nastavit jej jako server proxy, aby na zákazníky, jejichž domény jsou zaregistrovány jako subdomény domény druhé úrovně (SLD), prováděl útoky prostředníkem. U zákazníků s nakonfigurovanou příponou primárního serveru DNS se nástroj DNS Resolver sloužící k překladu doménových jmen pokusí v systému Windows vyřešit nekvalifikovaný název hostitele s předponou „wpad“, kterou přidá ke každé subdoméně v příponě serveru DNS, dokud nedosáhne domény druhé úrovně. Například jestliže je přípona serveru DNS corp.contoso.co.us a dojde k pokusu o přeložení nekvalifikovaného názvu hostitele s předponou wpad, pak se nástroj DNS Resolver pokusí o název wpad.corp.contoso.co.us. Jestliže takovou doménu nenajde, pokusí se pomocí zobecňování DNS vyřešit doménu wpad.contoso.co.us. Pokud nenajde ani tuto, pokusí se nalézt wpad.co.us, což je mimo doménu contoso.co.us.

Na začátek sekceNa začátek sekce

Doporučené postupy

Možná zástupná řešení

Společnost Microsoft testovala následující zástupná řešení. Přestože tato zástupná řešení neopravují samotnou chybu zabezpečení, pomáhají blokovat známé způsoby útoku. Případná omezení funkčnosti způsobená daným zástupným řešením jsou uvedena v následující části.

Vytvořte soubor automatické konfigurace serveru proxy WPAD.DAT na hostitelském serveru s názvem WPAD ve vlastní organizaci, aby se webové prohlížeče nasměrovaly na proxy server vaší organizace

Chcete-li vytvořit soubor automatické konfigurace serveru proxy WPAD.DAT, postupujte takto:

1.

Vytvořte soubor WPAD.DAT, který odpovídá specifikaci pro automatické nakonfigurování serveru proxy. Více informací o souborech automatické konfigurace serveru proxy (PAC) včetně příkladu naleznete v následujícím článku MSDN.

2.

Soubor WPAD.DAT umístěte do kořenového adresáře webového serveru ve vaší organizaci a ujistěte se, že je možné zaslat požadavek na soubor anonymně.

3.

Na webovém serveru „application/x-ns-proxy-autoconfig“ vytvořte pro soubor WPAD.DAT typ MIME.

4.

Na serveru DHCP nebo DNS své organizace vytvořte příslušné položky, aby bylo možné server WPAD nalézt.

Dopad tohoto zástupného řešení: Žádný

Na začátek sekceNa začátek sekce
Zakázat položku Automaticky zjišťovat nastavení v aplikaci Internet Explorer

Chcete-li zakázat položku Automaticky zjišťovat nastavení v aplikaci Internet Explorer, postupujte takto:

1.

Spusťte aplikaci Internet Explorer.

2.

V nabídce Nástroje vyberte možnosti Možnosti Internetu.

3.

Na kartě Připojení klepněte na možnost Nastavení místní sítě.

4.

Zrušte výběr u položky Automaticky zjišťovat nastavení na stránce Nastavení místní sítě.

Dopad tohoto zástupného řešení: Aplikace Internet Explorer již nebude automaticky zjišťovat nastavení serveru proxy.

Na začátek sekceNa začátek sekce
Zakázat zobecňování DNS

Chcete-li zakázat automatické zobecňování DNS, uložte si následující soubor s příponou .REG a pak z příkazového řádku s vyššími oprávněními nebo pro správu spusťte soubor regedit.exe /s <filename>:

Poznámka Více informací o funkci UseDomainNameDevolution naleznete v hodnotě registru funkce UseDomainNameDevolution.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
"UseDomainNameDevolution"=dword:00000000

Aby změny vstoupily v platnost, je nutné zastavit a restartovat službu klienta DNS. Toho lze dosáhnout z příkazového řádku s vyššími oprávněními nebo pro správu pomocí tohoto příkazu:

net stop dnscache & net start dnscache

Dopad tohoto zástupného řešení: Nástroj DNS Resolver zobecňování neprovede, tím potenciálně přeruší jakékoli aplikace nebo konfigurace, které se na takové chování spoléhají. Aplikace, které provádějí svou vlastní formu zobecňování, nejsou tímto nastavením dotčeny.

Na začátek sekceNa začátek sekce
Nakonfigurovat seznam pro vyhledávání přípon domén

Chcete-li vytvořit seznam pro vyhledávání přípon domén, uložte si následující soubor s příponou .REG a pak z příkazového řádku s vyššími oprávněními nebo pro správu spusťte soubor .exe /s <filename>:

Windows Registry Editor Version 5.00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"SearchList"=<domain specific search list>

Poznámka Systém Windows Server 2003 obsahuje také schopnost distribuovat seznam pro vyhledávání přípon domén pomocí Zásad skupiny. Více informací najdete v části Seznam pro vyhledávání přípon serveru DNSv článku 294785 znalostní báze Microsoft Knowledge Base.

Dopad tohoto zástupného řešení: Jakmile je v klientských systémech nakonfigurován seznam pro vyhledávání přípon domén, v dotazech serveru DNS se používá pouze seznam přípon. Nepoužívají se přípony primárního serveru DNS ani žádné přípony DNS podle připojení. Nástroj DNS Resolver zobecňování neprovede, tím potenciálně přeruší jakékoli aplikace nebo konfigurace, které se na takové chování spoléhají.

Na začátek sekceNa začátek sekce
Na začátek sekceNa začátek sekce
Na začátek sekceNa začátek sekce

Poděkování

Společnost Microsoft tímto děkuje za spolupráci při ochraně zákazníků:

Beau Butlerovi za spolupráci a oznámení chyby zabezpečení Automatického zjišťování serveru proxy (WPAD).

Zdroje informací:

Zpětnou vazbu můžete poskytnout vyplněním formuláře na následujícím webu.

Zákazníci mohou získat technickou podporu na webu služby technické podpory společnosti Microsoft. Další informace o dostupných možnostech technické podpory naleznete na webu technické podpory společnosti Microsoft.

Mezinárodní zákazníci získají podporu u místních zastoupení společnosti Microsoft. Další informace o možnostech kontaktování společnosti Microsoft v případě potřeby mezinárodní technické podpory naleznete na webu mezinárodní technické podpory.

Další informace o zabezpečení produktů společnosti Microsoft nabízí web Microsoft TechNet Security.

Zřeknutí se záruky:

Informace v tomto zpravodaji jsou poskytovány tak, jak jsou, bez jakékoli záruky. Společnost Microsoft neposkytuje žádné záruky, výslovně uvedené či mlčky předpokládané, včetně záruk obchodovatelnosti a vhodnosti pro určitý účel. Společnost Microsoft ani její dodavatelé nenesou v žádném případě zodpovědnost za žádné škody, včetně přímých, nepřímých, náhodných či následných škod, ztráty zisku či zvláštních škod, a to ani v případě, že byli na možnost takových škod upozorněni. V některých zemích a právních řádech není dovoleno vyloučit nebo omezit odpovědnost, proto se výše uvedené omezení na vás nemusí vztahovat.

Revize:

3. prosince 2007: Informační zpravodaj byl publikován.

9. ledna 2008: Informační zpravodaj byl aktualizován: Klíč registru pro zástupné řešení Nakonfigurovat seznam pro vyhledávání přípon domén byl opraven na správný klíč seznamu pro vyhledávání.


NahoruNahoru