Pesquisadores da Universidade de Boston método de ataque
(CVE-2019-11728) verificar endereços IP e abrir portas de rede na rede interna do usuário, isolada da rede externa por um firewall ou no sistema atual (localhost). O ataque pode ser realizado ao abrir uma página especialmente projetada no navegador. A técnica proposta é baseada no uso de um cabeçalho HTTP (Serviços alternativos HTTP, ). O problema ocorre no Firefox, Chrome e navegadores baseados em seus motores, incluindo Tor Browser e Brave.
O cabeçalho Alt-Svc permite que o servidor determine uma forma alternativa de acessar o site e instrua o navegador a redirecionar a solicitação para um novo host, por exemplo, para balanceamento de carga. Também é possível especificar a porta de rede para encaminhamento, por exemplo, especificando 'Alt-Svc: http/1.1="other.example.com:443";ma=200' instrui o cliente a se conectar ao host other.example .org para receber a página solicitada usando a porta de rede 443 e o protocolo HTTP/1.1. O parâmetro “ma” especifica a duração máxima do redirecionamento. Além de HTTP/1.1, HTTP/2-over-TLS (h2), HTTP/2-over texto simples (h2c), SPDY(spdy) e QUIC (quic) usando UDP são suportados como protocolos.
Para verificar endereços, o site do invasor pode pesquisar sequencialmente os endereços da rede interna e as portas de rede de interesse, usando o atraso entre solicitações repetidas como um sinal.
Se o recurso redirecionado estiver indisponível, o navegador recebe instantaneamente um pacote RST em resposta e marca imediatamente o serviço alternativo como indisponível e redefine o tempo de vida do redirecionamento especificado na solicitação.
Se a porta de rede estiver aberta, demorará mais para completar a conexão (será feita uma tentativa de estabelecer uma conexão com a troca de pacotes correspondente) e o navegador não responderá imediatamente.
Para obter informações sobre a verificação, o invasor pode redirecionar imediatamente o usuário para uma segunda página, que no cabeçalho Alt-Svc se referirá ao host em execução do invasor. Se o navegador do cliente enviar uma solicitação para esta página, podemos assumir que o primeiro redirecionamento de solicitação Alt-Svc foi redefinido e o host e a porta que estão sendo testados estão indisponíveis. Se a solicitação não for recebida, os dados do primeiro redirecionamento ainda não expiraram e a conexão foi estabelecida.
Este método também permite verificar as portas de rede colocadas na lista negra do navegador, como portas de servidores de e-mail. Um ataque funcional foi preparado usando a substituição de iframe no tráfego da vítima e o uso do protocolo HTTP/2 em Alt-Svc para Firefox e QUIC para verificar portas UDP no Chrome. No navegador Tor, o ataque não pode ser usado no contexto da rede interna e do host local, mas é adequado para organizar a verificação secreta de hosts externos por meio de um nó de saída do Tor. Problema com varredura de porta já no Firefox 68.
O cabeçalho Alt-Svc também pode ser usado:
- Ao organizar ataques DDoS. Por exemplo, para TLS, um redirecionamento pode fornecer um nível de ganho de 60 vezes, já que a solicitação inicial do cliente ocupa 500 bytes, a resposta com um certificado é de cerca de 30 KB. Ao gerar solicitações semelhantes em loop em vários sistemas clientes, você pode esgotar os recursos de rede disponíveis para o servidor;
- Para contornar mecanismos anti-phishing e anti-malware fornecidos por serviços como a Navegação Segura (o redireccionamento para um anfitrião malicioso não resulta num aviso);
- Para organizar o rastreamento do movimento do usuário. A essência do método é a substituição de um iframe que faz referência no Alt-Svc a um manipulador de rastreamento de movimento externo, que é chamado independentemente da inclusão de ferramentas anti-rastreador. Também é possível rastrear ao nível do fornecedor através da utilização de um identificador único em Alt-Svc (IP aleatório:porta como identificador) com a sua posterior análise no tráfego de trânsito;
- Para recuperar informações do histórico de movimento. Ao inserir imagens de um determinado site que usa Alt-Svc em sua página iframe com uma solicitação e analisar o estado do Alt-Svc no tráfego, um invasor que tem a capacidade de analisar o tráfego de trânsito pode concluir que o usuário visitou anteriormente o especificado site;
- Registros barulhentos de sistemas de detecção de intrusão. Através do Alt-Svc, você pode causar uma onda de solicitações a sistemas maliciosos em nome do usuário e criar a aparência de ataques falsos para ocultar informações sobre um ataque real no volume geral.
Fonte: opennet.ru