Ricercatori della Boston University metodo d'attacco
(CVE-2019-11728), di eseguire la scansione degli indirizzi IP e delle porte di rete aperte all'interno della rete dell'utente, protetta da un firewall da quella esterna, o sul sistema attuale (localhost). L'attacco può essere effettuato aprendo una pagina appositamente realizzata nel browser. La tecnica proposta si basa sull'uso dell'intestazione HTTP (HTTP Alternate Services, ). Il problema si manifesta in Firefox, Chrome e nei browser basati su questi motori, incluso Tor Browser e Brave.
L'intestazione Alt-Svc consente al server di determinare un modo alternativo per accedere al sito e di istruire il browser a reindirizzare la richiesta a un nuovo host, ad esempio, per il bilanciamento del carico. È anche possibile specificare una porta di rete per il tunneling, ad esempio, specificando 'Alt-Svc: http/1.1="other.example.com:443";ma=200' si prescrive al client di connettersi all'host other.example.org per ottenere la pagina richiesta, utilizzando la porta di rete 443 e il protocollo HTTP/1.1. Il parametro 'ma' determina il tempo massimo di validità del reindirizzamento. Oltre a HTTP/1.1, sono supportati anche i protocolli HTTP/2-over-TLS (h2), HTTP/2-over plain text (h2c), SPDY (spdy) e QUIC (quic), che utilizza UDP.

Per scansionare gli indirizzi, il sito dell'attaccante può eseguire una scansione sequenziale degli indirizzi di interesse nella rete interna e delle porte di rete, utilizzando come indicatore il ritardo tra le richieste ripetute.
In caso di indisponibilità della risorsa reindirizzata, il browser riceve istantaneamente un pacchetto RST come risposta e segna immediatamente il servizio alternativo come non disponibile, azzerando il tempo di vita del reindirizzamento specificato nella richiesta.
Se la porta di rete è aperta, ci vorrà più tempo per completare la connessione (verrà effettuato un tentativo di stabilire una connessione con il corrispondente scambio di pacchetti) e il browser non risponderà immediatamente.
Per ottenere informazioni sul test, l'attaccante può immediatamente reindirizzare l'utente a una seconda pagina, che nell'intestazione Alt-Svc farà riferimento a un host attivo dell'attaccante. Se il browser del cliente invia una richiesta a questa pagina, si può considerare che il reindirizzamento della prima richiesta Alt-Svc sia stato annullato e che l'host e la porta in fase di controllo siano non disponibili. Se non è stata inviata alcuna richiesta, significa che i dati sul primo reindirizzamento non sono ancora scaduti e che la connessione è stata stabilita.
Il metodo indicato consente di verificare anche le porte di rete inserite nella lista nera del browser, come le porte dei server di posta. L'attacco in esecuzione è preparato utilizzando l'inserimento di iframe nel traffico della vittima e l'applicazione del protocollo HTTP/2 in Alt-Svc per Firefox e QUIC per la scansione delle porte UDP in Chrome. Nel Tor Browser, l'attacco non può essere applicato nel contesto di una rete interna e di localhost, ma è adatto per organizzare una scansione nascosta di host esterni attraverso un nodo di uscita Tor. Il problema della scansione delle porte è già in Firefox 68.
L'intestazione Alt-Svc può essere utilizzata anche:
- Per organizzare attacchi DDoS. Ad esempio, per il TLS, il reindirizzamento può fornire un livello di potenziamento di 60 volte poiché la richiesta iniziale del client occupa 500 byte, mentre la risposta con il certificato è di circa 30 KB. Generando richieste simili in ciclo su più sistemi client, si può ottenere l'esaurimento delle risorse di rete disponibili per il server;

- Per eludere i meccanismi di protezione contro il phishing e il malware forniti da servizi come Safe Browsing (il reindirizzamento verso un host malevolo non provoca l'emissione di un avviso);
- Per organizzare il monitoraggio del movimento dell'utente. L'essenza del metodo è l'inserimento di un iframe che fa riferimento a un gestore esterno di monitoraggio, invocato nonostante l'attivazione di strumenti di protezione contro i tracker. È anche possibile monitorare a livello dei provider utilizzando in Alt-Svc un identificativo unico (IP casuali:porta come identificatore) e successivamente analizzarne il traffico in transito.


- Per estrarre informazioni sulla cronologia dei movimenti. Inserendo sulla propria pagina un iframe con una richiesta di immagini da un dato sito che utilizza Alt-Svc e analizzando lo stato di Alt-Svc nel traffico, l'attaccante con accesso all'analisi del traffico in transito può dedurre che l'utente ha già visitato il sito indicato.
- Il disturbo dei log dei sistemi di rilevamento delle intrusioni. Tramite Alt-Svc è possibile generare un'onda di richieste a sistemi dannosi a nome dell'utente, creando l'apparenza di attacchi falsi per nascondere nel volume totale delle informazioni un attacco reale.
Fonte: opennet.ru



