Ricercatori dell'Università di Boston
(CVE-2019-11728)
L'intestazione Alt-Svc consente al server di determinare un modo alternativo per accedere al sito e istruire il browser a reindirizzare la richiesta a un nuovo host, ad esempio per il bilanciamento del carico. È anche possibile specificare la porta di rete per l'inoltro, ad esempio, specificando 'Alt-Svc: http/1.1="other.example.com:443";ma=200' indica al client di connettersi all'host other.example .org per ricevere la pagina richiesta utilizzando la porta di rete 443 e il protocollo HTTP/1.1. Il parametro "ma" specifica la durata massima del reindirizzamento. Oltre a HTTP/1.1, come protocolli sono supportati HTTP/2-over-TLS (h2), HTTP/2-over plain text (h2c), SPDY(spdy) e QUIC (quic) che utilizzano UDP.
Per scansionare gli indirizzi, il sito dell'aggressore può cercare in sequenza gli indirizzi di rete interni e le porte di rete di interesse, utilizzando come segnale il ritardo tra le richieste ripetute.
Se la risorsa reindirizzata non è disponibile, il browser riceve immediatamente un pacchetto RST in risposta e contrassegna immediatamente il servizio alternativo come non disponibile e reimposta la durata del reindirizzamento specificata nella richiesta.
Se la porta di rete è aperta, ci vorrà più tempo per completare la connessione (verrà effettuato un tentativo di stabilire una connessione con lo scambio di pacchetti corrispondente) e il browser non risponderà immediatamente.
Per ottenere informazioni sulla verifica, l'aggressore può quindi reindirizzare immediatamente l'utente a una seconda pagina, che nell'intestazione Alt-Svc farà riferimento all'host in esecuzione dell'aggressore. Se il browser del client invia una richiesta a questa pagina, possiamo supporre che il primo reindirizzamento della richiesta Alt-Svc sia stato ripristinato e che l'host e la porta testati non siano disponibili. Se la richiesta non viene ricevuta, i dati relativi al primo reindirizzamento non sono ancora scaduti e la connessione è stata stabilita.
Questo metodo consente anche di controllare le porte di rete inserite nella lista nera del browser, come le porte del server di posta. È stato preparato un attacco funzionante utilizzando la sostituzione di iframe nel traffico della vittima e l’uso del protocollo HTTP/2 in Alt-Svc per Firefox e QUIC per scansionare le porte UDP in Chrome. In Tor Browser l'attacco non può essere utilizzato nel contesto della rete interna e dell'host locale, ma è adatto per organizzare la scansione nascosta di host esterni attraverso un nodo di uscita Tor. Già problema con la scansione delle porte
È possibile utilizzare anche l'intestazione Alt-Svc:
- Quando si organizzano attacchi DDoS. Ad esempio, per TLS, un reindirizzamento può fornire un livello di guadagno di 60 volte poiché la richiesta iniziale del client richiede 500 byte, la risposta con un certificato è di circa 30 KB. Generando richieste simili in loop su più sistemi client, è possibile esaurire le risorse di rete disponibili per il server;
- Per aggirare i meccanismi anti-phishing e anti-malware forniti da servizi come Navigazione sicura (il reindirizzamento a un host dannoso non genera un avviso);
- Per organizzare il monitoraggio dei movimenti degli utenti. L'essenza del metodo è la sostituzione di un iframe che fa riferimento in Alt-Svc a un gestore esterno di tracciamento del movimento, che viene chiamato indipendentemente dall'inclusione di strumenti anti-tracker. È possibile anche il tracciamento a livello di provider attraverso l'utilizzo di un identificatore univoco in Alt-Svc (IP:porta casuale come identificatore) con relativa analisi nel traffico in transito;
- Per recuperare le informazioni sulla cronologia dei movimenti. Inserendo immagini da un determinato sito che utilizza Alt-Svc nella propria pagina iframe con una richiesta e analizzando lo stato di Alt-Svc nel traffico, un utente malintenzionato che ha la capacità di analizzare il traffico di transito può concludere che l'utente ha precedentemente visitato il sito specificato luogo;
- Registri rumorosi dei sistemi di rilevamento delle intrusioni. Attraverso Alt-Svc, puoi provocare un'ondata di richieste ai sistemi dannosi per conto dell'utente e creare l'apparenza di falsi attacchi per nascondere informazioni su un attacco reale nel volume generale.
Fonte: opennet.ru