Istraživači sa Sveučilišta u Bostonu
(CVE-2019-11728)
Zaglavlje Alt-Svc omogućuje poslužitelju da odredi alternativni način pristupa stranici i uputi preglednik da preusmjeri zahtjev na novi host, na primjer za uravnoteženje opterećenja. Također je moguće navesti mrežni priključak za prosljeđivanje, na primjer, navođenje 'Alt-Svc: http/1.1="other.example.com:443";ma=200' upućuje klijenta da se poveže s glavnim računalom other.example .org za primanje tražene stranice koristeći mrežni priključak 443 i HTTP/1.1 protokol. Parametar "ma" određuje maksimalno trajanje preusmjeravanja. Uz HTTP/1.1, HTTP/2-over-TLS (h2), HTTP/2-over plain text (h2c), SPDY(spdy) i QUIC (quic) koji koriste UDP podržani su kao protokoli.
Za skeniranje adresa, napadačevo mjesto može sekvencijalno pretraživati unutarnje mrežne adrese i mrežne priključke od interesa, koristeći kašnjenje između ponovljenih zahtjeva kao znak.
Ako je preusmjereni resurs nedostupan, preglednik trenutno prima RST paket kao odgovor i odmah označava alternativnu uslugu kao nedostupnu i resetira životni vijek preusmjeravanja naveden u zahtjevu.
Ako je mrežni port otvoren, bit će potrebno više vremena da se uspostavi veza (pokušat će se uspostaviti veza s odgovarajućom razmjenom paketa) i preglednik neće odmah odgovoriti.
Kako bi dobio informacije o provjeri, napadač može odmah preusmjeriti korisnika na drugu stranicu, koja će se u zaglavlju Alt-Svc odnositi na napadačevo pokrenuto računalo. Ako klijentov preglednik pošalje zahtjev ovoj stranici, tada možemo pretpostaviti da je prvo preusmjeravanje Alt-Svc zahtjeva resetirano i da host i port koji se testiraju nisu dostupni. Ako zahtjev nije zaprimljen, tada podaci o prvom preusmjeravanju još nisu istekli i veza je uspostavljena.
Ova vam metoda također omogućuje provjeru mrežnih priključaka koji su stavljeni na crnu listu preglednika, poput priključaka poslužitelja e-pošte. Radni napad pripremljen je pomoću zamjene iframea u prometu žrtve i upotrebe HTTP/2 protokola u Alt-Svc za Firefox i QUIC za skeniranje UDP portova u Chromeu. U pregledniku Tor, napad se ne može koristiti u kontekstu interne mreže i lokalnog hosta, ali je prikladan za organiziranje tajnog skeniranja vanjskih hostova kroz Tor izlazni čvor. Već postoji problem sa skeniranjem priključaka
Zaglavlje Alt-Svc također se može koristiti:
- Prilikom organiziranja DDoS napada. Na primjer, za TLS, preusmjeravanje može osigurati razinu dobitka od 60 puta budući da početni zahtjev klijenta zauzima 500 bajtova, odgovor s certifikatom je oko 30 KB. Generiranjem sličnih zahtjeva u petlji na višestrukim klijentskim sustavima, možete iscrpiti mrežne resurse dostupne poslužitelju;
- Za zaobilaženje mehanizama protiv krađe identiteta i zlonamjernog softvera koje pružaju usluge kao što je Sigurno pregledavanje (preusmjeravanje na zlonamjerno računalo ne rezultira upozorenjem);
- Organizirati praćenje kretanja korisnika. Bit metode je zamjena iframea koji u Alt-Svc upućuje na vanjski rukovatelj praćenja kretanja, koji se poziva bez obzira na uključivanje alata protiv praćenja. Također je moguće pratiti na razini pružatelja putem upotrebe jedinstvenog identifikatora u Alt-Svc (nasumični IP:port kao identifikator) s njegovom naknadnom analizom u tranzitnom prometu;
- Za dohvaćanje podataka o povijesti kretanja. Umetanjem slika s određene stranice koja koristi Alt-Svc u svoju iframe stranicu sa zahtjevom i analizom stanja Alt-Svc u prometu, napadač koji ima mogućnost analize tranzitnog prometa može zaključiti da je korisnik prethodno posjetio navedeni mjesto;
- Šumni dnevnici sustava za otkrivanje upada. Pomoću Alt-Svc možete izazvati val zahtjeva zlonamjernim sustavima u ime korisnika i stvoriti izgled lažnih napada kako biste sakrili informacije o stvarnom napadu u općem volumenu.
Izvor: opennet.ru