Hola que tal abro hilo para comentar un fallo desde mi punto de vista muy grave que experimente recientemente.
Resulta pues que me encontraba navegando hace unos dias, cuando note que mi conexion esta muy lenta, mucho mas de lo normal entonces decidí hacer una prueba en speedtest.net y al aparecer el proovedor de internet asi como la IP me sorprendió ver que en lugar de decir TELMEX decía "Gransy s.r.o" y una IP "185.38.111.x" , a lo cual pensé se había buggeado speedtest.net.
Pero al continuar navegando comencé a notar que algunos sitios como twitter o youtube me mencionaban que me conectaba desde una ubicación nueva así que entré a una pagina del tipo "whatismyipaddress.com" y en efecto me mencionaba que mi ISP era "Gransy s.r.o" y la IP ya mencionada. A paritr de aqui si ya me entró la preocupacion porque pues no he movido ni instalado nada nuevo ni configurado VPN's o proxys, decido abrir ventana de incognito en chrome y abrir youtube y en efecto youtube sin logearme aparecia con sugerencias de videos populares en la republica checa. Procedo a mirar en Firefox y ahi estaba todo normal ISP Telmex e IP Mexicana.
Actualicé Chrome de la 86 a la 87 y parecía haberse solucionado, pero al día siguiente regresó el problema, comienza mi busqueda de nuevo y me encuentro con un hilo en el sitio de foro.elhacker.net
foro.elhacker.net/seguridad/ayuda_falsa_ip-t508262.0.html
Donde el usuario tiene el mismo problema, el hilo es reciente y ademas tambien tiene TELMEX. En el cual menciona que la solución a su problema fué desactivar una opcion en el apartado de opciones de internet de windows en la pestaña conexiones y en configuracion de LAN indica que se debe desactivar la opcion "detectar la configuracion automaticamente".
Posteriormente me entero que esa opcion de windows es del protocolo de autoconfiguración de servidor proxy y entonces comienzo a buscar como funciona el protocolo y pues basicamente como su nombre lo indica autoconfigura tu PC para el uso de un servidor proxy esto realmente util si tu computadora la usas en una red de empresa con un dominio definido, pero no muy util si eres un usuario común.
A lo que dije, y como fue que se me autoconfiguro un proxy si yo solo me conecto a la red de mi casa y jamas he unido mi equipo a un dominio pues este protocolo puede autoconfigurar proxy mediante dos formas por medio del servidor DHCP de tu red local o por medio de DNS, y despues de leer un poco mas acerca del funcionamiento en un PDF publicado por TrendMicro acerca de las vulnerabilidades del protocolo WPAD aqui es donde tuve mi momento al mas puro estilo del Dr. House. En pocas palabras el protocolo se autoconfigura en windows por medio de un archivo wpad.dat que WIndows intenta obtener por medio de DHCP o por DNS he aqui el problema por DNS intenta buscarlo en el dominio configurado en la red.
www.trendmicro.co.uk/media/misc/wp-badwpad.pdf
Recorde que por alguna razón el nuevo modem que me dío TELMEX a inicios de Noviembre de 2020 un Ping Communication v7962v1 venía configurado con el DHCP con un sufijo DNS "domain.name" esto se me hizo raro porque por lo regular los modems telmex casi nunca viene con sufijo configurado por lo regular vienen en blanco. Pues una vez sabiendo las vulnerabilidades del WPAD me fui a buscar haciendo WHOIS quien tiene registrado el dominio "wpad.domain.name" y quien creen amigos, pues efectivamente "Gransy s.r.o".
Ahora bien porque considero esto muy grave porque el protocolo WPAD viene configurado activado por defecto en Windows desde WinXP creo y peor aun en Win10 si lo desactivas causa problemas porque sirve de base para otras funciones como IP Helper y Microsoft Azure segun leí. Ademas una vez que caes en el proxy pues esta demás decir los peligros de que tus datos pasen por el servidor de alguien mas antes de llegar a ti (ademas de la reduccion de la velocidad), ya que aun entrando a sitios HTTPS si ya caiste al proxy el proxy te puede meter su propio certificado TLS y si lo aceptas (a veces uno le da si a los avisos de certificados de seguridad con tal de que te deje acceder a un sitio) y ahi pues ya estarias bajo un ataque "Man in the middle" y podrian ver todo tu trafico aun el HTTPS.
TL/DR: Primero si usan WIndows y no usan proxy ni tienen un dominio configurado vayan a opciones de internet -> pestaña conexiones -> configuracion de LAN y desmarquen todas las checkbox pero principalmente la primera "detectar la configuracion automaticamente".
Y segundo entren a la configuración de su ONT/router en este caso Ping Communication y vayan a la configuracion de DHCP y eliminen el sufijo preconfigurado "domain.name" y dejenlo en vacio/en blanco, guarden cambios y reinician.
EDIT. ===> Haciendo pruebas es mejor solo cambiando "domain.name" por "domain.local" ya que si lo dejan vacíoel campo DomainName, el DHCP de Windows les va mostrar sufijo DNS "domain_not_set.invalid" y les puede llegar a dar problemas si usan BSD/FreeBSD. O si tienen una mejor sugerencia por favor compartan.
Modems vulnerables todos los de marca Ping Comunication de TELMEX y cualquier modem/router que tenga configurado en el servidor DHCP el sufijo DNS "domain.name"
Mas Información:
nakedsecurity.sophos.com/es/2016/05/25/when-domain-names-attack-the-wpad-name-collision-vulnerability/
www.performanta.com/resources/advisory-czech-this-out-wpad-domain-collision-attacks/
www.reddit.com/r/Windows10/comments/kh7ph0/windows_10_ip_adress_in_a_different_region/
Muchas gracias por leer semejante muro de texto y si se lo pueden hacer llegar a alguien de seguridad de TELMEX que lanzen un update para dejar vacio el sufijo DNS en las configuraciones default sus modems muy chinos ya que Ping Communication me imagino es el revendedor ya que el modem en realidad si no se han dado cuenta es igual al Comnect GP744GVR de una empresa de Shenzen, China. Ojo no digo que sea malo me ha dado buena cobertura y velocidad solo se batalla con el software que tiene algunos bugs
www.comnect.com.cn/FTTx/GP744GVR.html
Espero tenga sentido toda la historia sino pues ya editaré mas tarde, perdón la mala redaccion hace un muy buen rato no publicaba en foros pero sigo a la comunidad desde HC y OCMX. Saludos
