Naukowcy z Uniwersytetu Bostońskiego metoda ataku
(CVE-2019-11728) skanuj adresy IP i otwieraj porty sieciowe w sieci wewnętrznej użytkownika, odgrodzonej od sieci zewnętrznej zaporą ogniową lub w bieżącym systemie (localhost). Atak może zostać przeprowadzony poprzez otwarcie specjalnie zaprojektowanej strony w przeglądarce. Proponowana technika opiera się na wykorzystaniu nagłówka HTTP (Usługi alternatywne HTTP, ). Problem występuje w przeglądarce Firefox, Chrome i przeglądarkach opartych na ich silnikach, w tym przeglądarce Tor i Brave.
Nagłówek Alt-Svc umożliwia serwerowi określenie alternatywnego sposobu dostępu do witryny i poinstruowanie przeglądarki, aby przekierowała żądanie do nowego hosta, na przykład w celu równoważenia obciążenia. Możliwe jest również określenie portu sieciowego do przekazywania, na przykład określenie „Alt-Svc: http/1.1="other.example.com:443";ma=200' instruuje klienta, aby połączyć się z hostem inny.przykład .org, aby otrzymać żądaną stronę przy użyciu portu sieciowego 443 i protokołu HTTP/1.1. Parametr „ma” określa maksymalny czas trwania przekierowania. Oprócz HTTP/1.1 jako protokoły obsługiwane są: HTTP/2-over-TLS (h2), HTTP/2-over zwykły tekst (h2c), SPDY(spdy) i QUIC (quic) korzystające z UDP.
Aby przeskanować adresy, witryna atakującego może sekwencyjnie przeszukiwać odpowiednie adresy sieci wewnętrznej i porty sieciowe, wykorzystując jako znak opóźnienie między powtarzającymi się żądaniami.
Jeśli przekierowany zasób jest niedostępny, przeglądarka natychmiast otrzymuje w odpowiedzi pakiet RST i natychmiast oznacza alternatywną usługę jako niedostępną oraz resetuje czas życia przekierowania określony w żądaniu.
Jeśli port sieciowy jest otwarty, nawiązanie połączenia zajmie więcej czasu (podjęta zostanie próba nawiązania połączenia z odpowiednią wymianą pakietów), a przeglądarka nie odpowie natychmiast.
Aby uzyskać informacje dotyczące weryfikacji, osoba atakująca może następnie natychmiast przekierować użytkownika na drugą stronę, która w nagłówku Alt-Svc będzie odnosić się do działającego hosta atakującego. Jeśli przeglądarka klienta wyśle żądanie do tej strony, możemy założyć, że pierwsze przekierowanie żądania Alt-Svc zostało zresetowane, a testowany host i port są niedostępne. Jeśli żądanie nie zostanie odebrane, oznacza to, że dane o pierwszym przekierowaniu jeszcze nie wygasły i połączenie zostało nawiązane.
Metoda ta umożliwia także sprawdzenie portów sieciowych znajdujących się na czarnej liście przeglądarki, np. portów serwerów pocztowych. Przygotowano działający atak wykorzystujący podstawienie iframe w ruchu ofiary oraz wykorzystanie protokołu HTTP/2 w Alt-Svc dla Firefoksa i QUIC do skanowania portów UDP w przeglądarce Chrome. W przeglądarce Tor ataku nie można zastosować w kontekście sieci wewnętrznej i hosta lokalnego, ale nadaje się do zorganizowania tajnego skanowania hostów zewnętrznych za pośrednictwem węzła wyjściowego Tora. Problem już ze skanowaniem portów w Firefoksie 68.
Można również użyć nagłówka Alt-Svc:
- Podczas organizowania ataków DDoS. Na przykład w przypadku TLS przekierowanie może zapewnić poziom wzmocnienia 60-krotny, ponieważ początkowe żądanie klienta zajmuje 500 bajtów, odpowiedź z certyfikatem ma około 30 KB. Generując podobne żądania w pętli na wielu systemach klienckich, możesz wyczerpać zasoby sieciowe dostępne dla serwera;
- Aby ominąć mechanizmy antyphishingowe i chroniące przed złośliwym oprogramowaniem zapewniane przez usługi takie jak Bezpieczne przeglądanie (przekierowanie na złośliwy host nie powoduje ostrzeżenia);
- Aby zorganizować śledzenie ruchu użytkownika. Istotą tej metody jest podstawienie ramki iframe, która odwołuje się w Alt-Svc do zewnętrznej procedury obsługi śledzenia ruchu, która jest wywoływana niezależnie od włączenia narzędzi zapobiegających śledzeniu. Możliwe jest również śledzenie na poziomie dostawcy poprzez zastosowanie unikalnego identyfikatora w Alt-Svc (losowe IP:port jako identyfikator) z późniejszą analizą w ruchu tranzytowym;
- Aby pobrać informacje o historii ruchu. Wstawiając obrazy z danej witryny korzystającej z Alt-Svc na swoją stronę iframe z żądaniem i analizując stan Alt-Svc w ruchu, osoba atakująca posiadająca możliwość analizy ruchu tranzytowego może stwierdzić, że użytkownik odwiedził już wcześniej określony strona;
- Zaszumione dzienniki systemów wykrywania włamań. Za pomocą Alt-Svc możesz w imieniu użytkownika wywołać falę żądań do złośliwych systemów i stworzyć pozory fałszywych ataków, aby ukryć informacje o prawdziwym ataku w ogólnym wolumenie.
Źródło: opennet.ru