Корпорация Microsoft признала существование уязвимости в службе Web Proxy Auto-Discovery (WPAD), выпустив специальный бюллетень безопасности (Security Advisory 945713) с подробным описанием бреши и возможных методов ее устранения. Отдельной благодарностью в бюллетене отмечен Бо Батлер (Beau Bulter, на снимке) — новозеландский специалист по компьютерной безопасности, выявивший уязвимость и сообщивший о ней корпорации Microsoft.
Сервис Web Proxy Auto-Discovery применяется во всех новейших операционных системах Windows (в т.ч. Windows 2000 SP4, Windows XP SP2, Windows Server 2003 и Windows Vista) для автоматического поиска прокси-серверов в корпоративных сетях с собственным доменом. Из-за ошибки в настройках WPAD этот сервис может отправить запрос в том числе и во внешнюю сеть — на сервер с адресом wpad.co.* (где * — национальный домен: "us", "ua", "uk" и т.д.).
Таким образом, злоумышленник, сумевший добыть в свое распоряжение соответствующий домен, может получить полный контроль над сетевым трафиком компьютеров внутрикорпоративных сетей, чьи администраторы не посчитали нужным менять начальные настройки операционной системы. По оценке самого Бо Батлера, только в Новой Зеландии насчитывается около 160 тыс. таких ПК.
Стоит заметить, что уязвимость в работе сервиса WPAD была выявлена еще в конце 90-х годов прошлого века; тогда же корпорация Microsoft устранила ее в актуальной на тот момент версии своего браузера — Internet Explorer 5.5. Не совсем понятно, почему в новых версиях Windows об этой опасности забыли.
Сейчас Microsoft предлагает несколько вариантов устранения бреши WPAD: отключение автоопределения прокси-серверов в настройках сетевых соединений веб-браузеров, прописывание в системном реестре определенных ограничений на поиск прокси, и, наконец, создание файла WPAD.DAT с нужными настройками сети на внутрикорпоративном сервере.
По сведениям некоторых сетевых источников, Microsoft уже выпустила апдейты, вносящие необходимые изменения в настройки систем Windows автоматически. Тем не менее, в самом бюллетене безопасности ссылок на эти апдейты пока нет.