Výskumníci z Bostonskej univerzity
(CVE-2019-11728)
Hlavička Alt-Svc umožňuje serveru určiť alternatívny spôsob prístupu na stránku a inštruovať prehliadač, aby presmeroval požiadavku na nového hostiteľa, napríklad na vyrovnávanie záťaže. Je tiež možné zadať sieťový port pre presmerovanie, napríklad zadaním „Alt-Svc: http/1.1="other.example.com:443";ma=200 dá klientovi pokyn na pripojenie k hostiteľovi other.example .org na prijatie požadovanej stránky pomocou sieťového portu 443 a protokolu HTTP/1.1. Parameter „ma“ určuje maximálne trvanie presmerovania. Okrem HTTP/1.1 sú ako protokoly podporované aj HTTP/2-over-TLS (h2), HTTP/2-over plain text (h2c), SPDY(spdy) a QUIC (quic) využívajúce protokol UDP.
Na skenovanie adries môže stránka útočníka postupne prehľadávať interné sieťové adresy a sieťové porty, ktoré nás zaujímajú, pričom ako znak použije oneskorenie medzi opakovanými požiadavkami.
Ak je presmerovaný zdroj nedostupný, prehliadač okamžite prijme ako odpoveď paket RST a okamžite označí alternatívnu službu ako nedostupnú a resetuje životnosť presmerovania špecifikovanú v požiadavke.
Ak je sieťový port otvorený, dokončenie spojenia bude trvať dlhšie (uskutoční sa pokus o vytvorenie spojenia s príslušnou výmenou paketov) a prehliadač neodpovie okamžite.
Na získanie informácií o overení môže útočník okamžite presmerovať používateľa na druhú stránku, ktorá v hlavičke Alt-Svc bude odkazovať na spusteného hostiteľa útočníka. Ak prehliadač klienta odošle požiadavku na túto stránku, potom môžeme predpokladať, že prvé presmerovanie požiadavky Alt-Svc bolo resetované a testovaný hostiteľ a port sú nedostupné. Ak žiadosť nie je prijatá, tak údaje o prvom presmerovaní ešte nevypršali a spojenie je nadviazané.
Táto metóda vám tiež umožňuje skontrolovať sieťové porty na čiernej listine prehliadača, ako sú porty poštových serverov. Bol pripravený funkčný útok pomocou nahradenia prvkov iframe v prevádzke obete a použitia protokolu HTTP/2 v Alt-Svc pre Firefox a QUIC na skenovanie UDP portov v prehliadači Chrome. V prehliadači Tor nemožno útok použiť v kontexte internej siete a localhost, ale je vhodný na organizovanie skrytého skenovania externých hostiteľov cez výstupný uzol Tor. Problém už so skenovaním portov
Je možné použiť aj hlavičku Alt-Svc:
- Pri organizovaní DDoS útokov. Napríklad pre TLS môže presmerovanie poskytnúť úroveň zisku 60-krát, pretože počiatočná požiadavka klienta trvá 500 bajtov, odpoveď s certifikátom je približne 30 KB. Generovaním podobných požiadaviek v slučke na viacerých klientskych systémoch môžete vyčerpať sieťové zdroje dostupné pre server;
- Obídenie anti-phishingových a antimalvérových mechanizmov poskytovaných službami, ako je Safe Browsing (presmerovanie na škodlivého hostiteľa nevedie k varovaniu);
- Na organizovanie sledovania pohybu používateľov. Podstatou metódy je nahradenie prvku iframe, ktorý v Alt-Svc odkazuje na externý obslužný program sledovania pohybu, ktorý sa volá bez ohľadu na zahrnutie nástrojov na sledovanie pohybu. Je tiež možné sledovať na úrovni poskytovateľa pomocou jedinečného identifikátora v Alt-Svc (náhodný IP:port ako identifikátor) s jeho následnou analýzou v tranzitnej prevádzke;
- Na získanie informácií o histórii pohybu. Vložením obrázkov z daného webu, ktorý používa Alt-Svc na svoju stránku iframe so žiadosťou a analýzou stavu Alt-Svc v premávke, môže útočník, ktorý má schopnosť analyzovať tranzitnú premávku, dospieť k záveru, že používateľ už predtým navštívil špecifikované miesto;
- Hlučné záznamy systémov detekcie narušenia. Prostredníctvom Alt-Svc môžete spôsobiť vlnu požiadaviek na škodlivé systémy v mene používateľa a vytvoriť zdanie falošných útokov na skrytie informácií o skutočnom útoku vo všeobecnom zväzku.
Zdroj: opennet.ru