Forskere fra Boston University angrepsmetode
(CVE-2019-11728) skanne IP-adresser og åpne nettverksporter på brukerens interne nettverk, inngjerdet fra det eksterne nettverket av en brannmur, eller på gjeldende system (localhost). Angrepet kan utføres når du åpner en spesialdesignet side i nettleseren. Den foreslåtte teknikken er basert på bruk av en HTTP-header (alternative HTTP-tjenester, ). Problemet oppstår i Firefox, Chrome og nettlesere basert på deres motorer, inkludert Tor Browser og Brave.
Alt-Svc-overskriften lar serveren bestemme en alternativ måte å få tilgang til nettstedet og instruere nettleseren om å omdirigere forespørselen til en ny vert, for eksempel for lastbalansering. Det er også mulig å spesifisere nettverksporten for videresending, for eksempel ved å spesifisere 'Alt-Svc: http/1.1="other.example.com:443";ma=200' instruerer klienten om å koble til verten other.example .org for å motta den forespurte siden ved hjelp av nettverksport 443 og HTTP/1.1-protokollen. "ma"-parameteren spesifiserer maksimal omdirigeringsvarighet. I tillegg til HTTP/1.1, støttes HTTP/2-over-TLS (h2), HTTP/2-over ren tekst (h2c), SPDY(spdy) og QUIC (quic) som bruker UDP som protokoller.
For å skanne adresser kan angriperens nettsted sekvensielt søke gjennom de interne nettverksadressene og nettverksportene av interesse, ved å bruke forsinkelsen mellom gjentatte forespørsler som et tegn.
Hvis den omdirigerte ressursen er utilgjengelig, mottar nettleseren umiddelbart en RST-pakke som svar og merker umiddelbart den alternative tjenesten som utilgjengelig og tilbakestiller omdirigeringslevetiden spesifisert i forespørselen.
Hvis nettverksporten er åpen, vil det ta lengre tid å fullføre tilkoblingen (det vil bli gjort et forsøk på å etablere en forbindelse med den tilsvarende pakkeutvekslingen), og nettleseren vil ikke svare umiddelbart.
For å få informasjon om verifiseringen, kan angriperen umiddelbart omdirigere brukeren til en andre side, som i Alt-Svc-overskriften vil referere til angriperens løpende vert. Hvis klientens nettleser sender en forespørsel til denne siden, kan vi anta at den første omdirigeringen av Alt-Svc-forespørselen er tilbakestilt og verten og porten som testes er utilgjengelige. Hvis forespørselen ikke mottas, er dataene om den første omdirigeringen ennå ikke utløpt, og tilkoblingen er opprettet.
Denne metoden lar deg også sjekke nettverksporter svartelistet av nettleseren, for eksempel e-postserverporter. Et fungerende angrep ble forberedt ved å bruke iframe-erstatning i offerets trafikk og bruk av HTTP/2-protokollen i Alt-Svc for Firefox og QUIC for å skanne UDP-porter i Chrome. I Tor Browser kan angrepet ikke brukes i sammenheng med det interne nettverket og lokalverten, men er egnet for å organisere skjult skanning av eksterne verter gjennom en Tor-utgangsnode. Problem med portskanning allerede i Firefox 68.
Alt-Svc-overskriften kan også brukes:
- Når du organiserer DDoS-angrep. For eksempel, for TLS, kan en omdirigering gi et forsterkningsnivå på 60 ganger siden den første klientforespørselen tar 500 byte, svaret med et sertifikat er omtrent 30 KB. Ved å generere lignende forespørsler i en sløyfe på flere klientsystemer, kan du tømme nettverksressursene som er tilgjengelige for serveren;
- Å omgå anti-phishing og anti-malware-mekanismer levert av tjenester som Safe Browsing (omadressering til en ondsinnet vert resulterer ikke i en advarsel);
- For å organisere sporing av brukerbevegelser. Essensen av metoden er erstatning av en iframe som refererer i Alt-Svc til en ekstern bevegelsessporingsbehandler, som kalles uavhengig av inkludering av anti-tracker-verktøy. Det er også mulig å spore på leverandørnivå gjennom bruk av en unik identifikator i Alt-Svc (tilfeldig IP:port som en identifikator) med påfølgende analyse i transittrafikk;
- For å hente bevegelseshistorikkinformasjon. Ved å sette inn bilder fra et gitt nettsted som bruker Alt-Svc på sin iframe-side med en forespørsel og analysere tilstanden til Alt-Svc i trafikken, kan en angriper som har muligheten til å analysere transittrafikk konkludere med at brukeren tidligere har besøkt den spesifiserte trafikken. nettstedet;
- Støyende logger av inntrengningsdeteksjonssystemer. Gjennom Alt-Svc kan du forårsake en bølge av forespørsler til ondsinnede systemer på vegne av brukeren og skape inntrykk av falske angrep for å skjule informasjon om et reelt angrep i det generelle volumet.
Kilde: opennet.ru
