Forscher der Boston University Angriffsmethode
(CVE-2019-11728), kann IP-Adressen und offene Netzwerkports im internen Netzwerk des Nutzers scannen, das durch eine Firewall von externen Netzwerken abgeschottet ist, oder auf dem aktuellen System (localhost). Der Angriff kann durch das Öffnen einer speziell gestalteten Seite im Browser erfolgen. Die vorgeschlagene Technik basiert auf der Verwendung des HTTP-Headers (HTTP Alternate Services, ). Das Problem tritt in Firefox, Chrome und auf deren Engines basierenden Browsern auf, einschließlich Tor Browser und Brave.
Der Alt-Svc-Header ermöglicht es dem Server, eine alternative Methode zur Ansprache der Website zu definieren und den Browser anzuweisen, die Anfrage an einen neuen Host umzuleiten, beispielsweise zur Lastenverteilung. Zudem kann ein Netzwerkport für das Forwarding angegeben werden, etwa durch den Header „Alt-Svc: http/1.1="other.example.com:443";ma=200“, der dem Client vorschreibt, sich zur Abrufung der angeforderten Seite mit dem Host other.example.org zu verbinden, indem er den Netzwerkport 443 und das Protokoll HTTP/1.1 verwendet. Der Parameter „ma“ legt die maximale Dauer der Umleitung fest. Neben HTTP/1.1 werden auch die Protokolle HTTP/2-over-TLS (h2), HTTP/2-over plain text (h2c), SPDY (spdy) und QUIC (quic) unterstützt, wobei UDP zum Einsatz kommt.

Um Adressen zu scannen, kann die angreifende Website systematisch interessante Adressen im internen Netzwerk und Netzwerport durchlaufen und dabei die Verzögerung zwischen den wiederholten Anfragen als Zeichen verwenden.
Im Falle der Nichterreichbarkeit der umgeleiteten Ressource erhält der Browser sofort ein RST-Paket als Antwort und markiert den alternativen Dienst als unerreichbar und setzt die im Anfrage angegebenen Lebensdauer der Umleitung auf null.
Wenn der Netzwerkport geöffnet ist, dauert es länger, die Verbindung herzustellen (es wird ein Versuch unternommen, eine Verbindung mit dem entsprechenden Paketwechsel herzustellen), und der Browser reagiert nicht sofort.
Um Informationen über die Überprüfung zu erhalten, kann der Angreifer den Benutzer sofort auf eine zweite Seite umleiten, die im Alt-Svc-Header auf einen funktionierenden Host des Angreifers verweist. Wenn der Browser des Kunden eine Anfrage an diese Seite sendet, kann man davon ausgehen, dass die erste Alt-Svc-Anfrage zurückgesetzt wurde und der überprüfte Host und Port nicht verfügbar sind. Wenn keine Anfrage erfolgt, bedeutet dies, dass die Informationen zur ersten Umleitung noch nicht abgelaufen sind und die Verbindung hergestellt wurde.
Die angegebene Methode ermöglicht unter anderem die Prüfung von Netzwerkports, die in der Browser-Blacklist stehen, wie zum Beispiel Ports von Mail-Servern. Der funktionierende Angriff wird vorbereitet, indem ein iframe in den Traffic des Opfers eingefügt wird und das Alt-Svc-Protokoll für HTTP/2 in Firefox sowie QUIC zum Scannen von UDP-Ports in Chrome genutzt wird. Im Tor-Browser kann der Angriff nicht im Kontext des internen Netzwerks und localhost angewendet werden, eignet sich jedoch zur Durchführung einer verdeckten Untersuchung externer Hosts über den Tor-Ausgangsknoten. Das Problem des Port-Scannens besteht bereits in Firefox 68.
Der Alt-Svc-Header kann auch angewendet werden:
- Bei der Durchführung von DDoS-Angriffen. Zum Beispiel kann das TLS-Redirect einen Verstärkungsfaktor von bis zu 60 erreichen, da die ursprüngliche Anfrage des Clients 500 Byte benötigt, die Antwort mit dem Zertifikat etwa 30 KB beträgt. Indem solche Anfragen in einer Schleife von mehreren Clients generiert werden, kann die verfügbare Netzwerkressource des Servers erschöpft werden;

- Um Mechanismen zum Schutz vor Phishing und Malware zu umgehen, die von Diensten wie Safe Browsing bereitgestellt werden (eine Weiterleitung auf einen schädlichen Host führt nicht zur Ausgabe eines Warnhinweises);
- Zur Organisation der Nachverfolgung von Benutzerbewegungen. Der Kern der Methode besteht darin, ein iFrame einzufügen, das über Alt-Svc auf einen externen Nachverarbeitungsdienst verweist, dessen Aufruf unabhängig von aktivierten Tracking-Schutzmaßnahmen erfolgt. Es ist auch möglich, auf Anbieter-Ebene zu verfolgen, indem ein einzigartiger Identifikator (zufällige IP:Port-Kombination als Identifikator) in Alt-Svc verwendet und anschließend im Transitverkehr analysiert wird.


- Zur Extraktion von Informationen über die Bewegungsanfragen. Indem ein iFrame mit einem Bildanfrage von einer bestimmten Website, die Alt-Svc nutzt, auf die eigene Seite eingefügt wird und der Zustand von Alt-Svc im Verkehr analysiert wird, kann ein Angreifer, der die Möglichkeit hat, den Transitverkehr zu analysieren, schließen, dass der Benutzer die angegebene Website zuvor besucht hat.
- Rauschunterdrückung von Protokollen in Intrusion-Detection-Systemen. Über Alt-Svc können Wellen von Anfragen an bösartige Systeme im Namen des Benutzers ausgelöst werden, wodurch eine Illusion falscher Angriffe geschaffen wird, um im Gesamtvolumen der Informationen über den echten Angriff verborgen zu bleiben.
Quelle: opennet.ru



