Vědci z Bostonské univerzity
(CVE-2019-11728)
Záhlaví Alt-Svc umožňuje serveru určit alternativní způsob přístupu k webu a instruovat prohlížeč, aby přesměroval požadavek na nového hostitele, například kvůli vyrovnávání zátěže. Je také možné zadat síťový port pro přesměrování, například zadáním 'Alt-Svc: http/1.1="other.example.com:443";ma=200 dá klientovi pokyn k připojení k hostiteli other.example .org k přijetí požadované stránky pomocí síťového portu 443 a protokolu HTTP/1.1. Parametr "ma" určuje maximální dobu trvání přesměrování. Kromě HTTP/1.1 jsou jako protokoly podporovány HTTP/2-over-TLS (h2), HTTP/2-over plain text (h2c), SPDY(spdy) a QUIC (quic) využívající UDP.
Za účelem skenování adres může web útočníka postupně prohledávat vnitřní síťové adresy a zájmové síťové porty, přičemž jako znak používá prodlevu mezi opakovanými požadavky.
Pokud je přesměrovaný zdroj nedostupný, prohlížeč jako odpověď okamžitě obdrží paket RST a okamžitě označí alternativní službu jako nedostupnou a resetuje dobu trvání přesměrování uvedenou v požadavku.
Pokud je síťový port otevřený, bude dokončení připojení trvat déle (bude proveden pokus o navázání spojení s odpovídající výměnou paketů) a prohlížeč neodpoví okamžitě.
Pro získání informací o ověření pak může útočník okamžitě přesměrovat uživatele na druhou stránku, která v hlavičce Alt-Svc bude odkazovat na běžícího hostitele útočníka. Pokud prohlížeč klienta odešle požadavek na tuto stránku, pak můžeme předpokládat, že první přesměrování požadavku Alt-Svc bylo resetováno a testovaný hostitel a port jsou nedostupné. Pokud není požadavek přijat, pak data o prvním přesměrování ještě nevypršela a spojení bylo navázáno.
Tato metoda vám také umožňuje zkontrolovat síťové porty, které prohlížeč uvedl na černou listinu, jako jsou porty poštovních serverů. Byl připraven funkční útok pomocí substituce iframe v provozu oběti a použití protokolu HTTP/2 v Alt-Svc pro Firefox a QUIC ke skenování UDP portů v Chrome. V prohlížeči Tor nelze útok použít v kontextu vnitřní sítě a localhostu, ale je vhodný pro organizaci skrytého skenování externích hostitelů prostřednictvím výstupního uzlu Tor. Problém se skenováním portů již
Záhlaví Alt-Svc lze také použít:
- Při organizování DDoS útoků. Například pro TLS může přesměrování poskytnout úroveň zisku 60krát, protože počáteční požadavek klienta trvá 500 bajtů, odpověď s certifikátem je asi 30 KB. Generováním podobných požadavků ve smyčce na více klientských systémech můžete vyčerpat síťové zdroje dostupné pro server;
- Obejití anti-phishingových a antimalwarových mechanismů poskytovaných službami, jako je Safe Browsing (přesměrování na škodlivého hostitele nevede k varování);
- Uspořádat sledování pohybu uživatelů. Podstatou metody je nahrazení prvku iframe, který v Alt-Svc odkazuje na externí handler pro sledování pohybu, který je volán bez ohledu na zahrnutí nástrojů proti sledování. Je také možné sledovat na úrovni poskytovatele pomocí jedinečného identifikátoru v Alt-Svc (náhodný IP:port jako identifikátor) s jeho následnou analýzou v tranzitním provozu;
- Chcete-li získat informace o historii pohybu. Vložením obrázků z daného webu, který používá Alt-Svc na svou stránku iframe s požadavkem a analýzou stavu Alt-Svc v provozu, může útočník, který má schopnost analyzovat tranzitní provoz, dojít k závěru, že uživatel již dříve navštívil zadaný místo;
- Hlučné záznamy systémů detekce narušení. Prostřednictvím Alt-Svc můžete vyvolat vlnu požadavků na škodlivé systémy jménem uživatele a vytvořit zdání falešných útoků, které skryjí informace o skutečném útoku v obecném svazku.
Zdroj: opennet.ru