Oggi ho incontrato qualcosa che non ho mai visto prima di prima mano. Il nostro IDS ha bloccato alcuni tentativi di traffico in uscita da 5 server senza accesso WAN. Questo traffico stava portando a un indirizzo inattivo che ospita un file wpad.dat inesistente. 208.91.197.132/wpad.dat è l'indirizzo e il file.
Questi dispositivi non utilizzano DHCP e pertanto non è stato possibile accedere a una registrazione errata. Il DNS utilizzato da questi dispositivi sembra non protetto. L'unica cosa rimasta, e ciò che prevedo, è che WPAD si basa sulla trasmissione NetBIOS per trovare un server WPAD, che quindi sta inoltrando all'indirizzo sopra indicato.
I tentativi di blocco IDS sono iniziati 2 giorni fa, circa ogni ora, e i registri dei blocchi IDS erano perfettamente compatibili con le richieste http WSUS in uscita.
Non esiste alcuna infezione per le definizioni degli host interessati.
Qualche idea? A questo punto, credo che un dispositivo sia entrato nella rete e WPAD lo abbia rilevato.
No, non stiamo eseguendo IE 5.0:)