Das WPAD-Protokoll dient dazu, Proxy-Konfigurationen automatisch durchführen zu lassen. In den 20 Jahren, in denen das Protokoll nunmehr im Dienst ist, hat es bereits erhebliche Zweifel an seiner Sicherheit geweckt. Auf der jüngsten Black Hat Konferenz wurden jene noch einmal vergrößert. Sicherheitsforscher Maxim Goncharov konnte hier einige neue Lücken präsentieren. Vereinfacht gesagt ergeben sich jene durch die Frage, wie spezifische Clients nach den WPAD-Autokonfigurationsdateien suchen. Wer die Lücken konsequent nutzt, kann erheblichen Schaden verursachen.
URL der Datei ist das zentrale Problem
Die Konfigurationen sind in der Datei wpad.dat enthalten. Um die automatische Konfiguration durchführen zu können, muss sich jene im Netz mit den Spezifika versorgen. Die Datei sucht nach einer spezifischen URL, um die für sie zentralen Informationen zu gewinnen. Als Beispiel: Lautet die URL test.test.bar, sucht die Datei erst nach wpad.test.test.bar, würde sie nicht fündig, fahndet sie nach wpad.test.bar und dann nach wpad.bar. Jetzt könnte der Inhaber der Top Level Domain .bar der Datei zahlreiche falsche Konfigurationen unterschieben, die auch für andere URLs Gültigkeit hätten und auf der fraglichen Domain so ziemlich alles tun könnten.
Goncharov hat dies mit Hilfe von Honeypots („Täuschkörper“ im Netz, der Angreifer vom eigentlichen Ziel ablenken soll) getestet und Millionen von WPAD-Anfragen bekommen. Dies bedeutet: Das beschriebene Problem ist nicht nur bekannt, sondern wird bereits exzessiv genutzt.
