Undersikers fan Boston University oanfal metoade
(CVE-2019-11728) scan IP-adressen en iepenje netwurkpoarten op it ynterne netwurk fan 'e brûker, omheind fan it eksterne netwurk troch in firewall, of op it hjoeddeistige systeem (localhost). De oanfal kin wurde útfierd by it iepenjen fan in spesjaal ûntwurpen side yn 'e browser. De foarstelde technyk is basearre op it brûken fan in HTTP-header (Alternative HTTP-tsjinsten, ). It probleem komt foar yn Firefox, Chrome en browsers basearre op har motoren, ynklusyf Tor Browser en Brave.
De Alt-Svc-header lit de tsjinner in alternative manier bepale om tagong te krijen ta de side en de blêder ynstruearje om it fersyk nei in nije host te ferwizen, bygelyks foar load balancing. It is ek mooglik om de netwurkpoarte op te jaan foar trochstjoeren, bygelyks it opjaan fan 'Alt-Svc: http/1.1="other.example.com:443";ma=200' ynstruearret de kliïnt om te ferbinen mei de host other.example .org om de frege side te ûntfangen mei netwurkpoarte 443 en HTTP/1.1-protokol. De parameter "ma" spesifisearret de maksimale trochferwizingsdoer. Neist HTTP/1.1 wurde HTTP/2-over-TLS (h2), HTTP/2-over platte tekst (h2c), SPDY (spdy) en QUIC (quic) mei UDP stipe as protokollen.
Om adressen te scannen, kin de side fan 'e oanfaller opfolgjend sykje troch de ynterne netwurkadressen en netwurkhavens fan belang, mei de fertraging tusken werhelle oanfragen as teken.
As de trochferwiisde boarne net beskikber is, ûntfangt de browser daliks in RST-pakket as antwurd en markearret de alternative tsjinst fuortendaliks as net beskikber en set de trochferwizingslibben werom dy't yn it fersyk oanjûn is.
As de netwurkpoarte iepen is, sil it langer duorje om de ferbining te foltôgjen (der wurdt besocht in ferbining te meitsjen mei de oerienkommende pakketútwikseling) en sil de browser net daliks reagearje.
Om ynformaasje te krijen oer de ferifikaasje, kin de oanfaller de brûker dan daliks trochferwize nei in twadde side, dy't yn 'e Alt-Svc-header sil ferwize nei de rinnende host fan' e oanfaller. As de blêder fan 'e kliïnt in fersyk nei dizze side stjoert, dan kinne wy oannimme dat de earste Alt-Svc-oanfraachomlieding is reset en de host en poarte dy't wurde hifke binne net beskikber. As it fersyk net ûntfongen is, dan binne de gegevens oer de earste omlieding noch net ferrûn en de ferbining is oprjochte.
Mei dizze metoade kinne jo ek netwurkpoarten kontrolearje dy't troch de blêder op 'e swarte list binne, lykas e-postserverpoarten. In wurkjende oanfal waard taret mei iframe-ferfanging yn it ferkear fan it slachtoffer en it brûken fan it HTTP/2-protokol yn Alt-Svc foar Firefox en QUIC om UDP-poarten yn Chrome te scannen. Yn Tor Browser kin de oanfal net brûkt wurde yn 'e kontekst fan it ynterne netwurk en localhost, mar is geskikt foar it organisearjen fan geheime skennen fan eksterne hosts fia in Tor-útgongknooppunt. Probleem mei poarte skennen al yn Firefox 68.
De Alt-Svc-koptekst kin ek brûkt wurde:
- By it organisearjen fan DDoS-oanfallen. Bygelyks, foar TLS kin in trochferwizing in winstnivo fan 60 kear leverje, om't it earste klantfersyk 500 bytes nimt, it antwurd mei in sertifikaat is sawat 30 KB. Troch it generearjen fan ferlykbere fersiken yn in lus op meardere client systemen, kinne jo útput it netwurk middels beskikber foar de tsjinner;
- Om anty-phishing- en anty-malware-meganismen te omgean, levere troch tsjinsten lykas Safe Browsing (trochferwizing nei in kweade host resultearret net yn in warskôging);
- Om it folgjen fan brûkersbeweging te organisearjen. De essinsje fan 'e metoade is it ferfangen fan in iframe dat ferwiist yn Alt-Svc in eksterne beweging tracking handler, dat wurdt neamd nettsjinsteande it opnimmen fan anty-tracker ark. It is ek mooglik om te folgjen op providernivo troch it brûken fan in unike identifier yn Alt-Svc (willekeurige IP:port as identifier) mei syn folgjende analyze yn transitferkear;
- Om ynformaasje oer bewegingshistoarje te heljen. Troch ôfbyldings fan in opjûne side dy't Alt-Svc brûkt yn syn iframe-side mei in fersyk yn te foegjen en de steat fan Alt-Svc yn ferkear te analysearjen, kin in oanfaller dy't de mooglikheid hat om transitferkear te analysearjen konkludearje dat de brûker earder de opjûne besocht hat site;
- Noisy logs fan systemen foar ynbraakdeteksje. Troch Alt-Svc kinne jo in weach fan oanfragen feroarsaakje oan kweade systemen út namme fan 'e brûker en meitsje it uterlik fan falske oanfallen om ynformaasje te ferbergjen oer in echte oanfal yn 'e algemiene folume.
Boarne: opennet.ru