Raziskovalci z bostonske univerze način napada
(CVE-2019-11728) skenirajte naslove IP in odprite omrežna vrata v notranjem omrežju uporabnika, ki je s požarnim zidom ločeno od zunanjega omrežja, ali v trenutnem sistemu (localhost). Napad se lahko izvede ob odpiranju posebej oblikovane strani v brskalniku. Predlagana tehnika temelji na uporabi glave HTTP (Nadomestne storitve HTTP, ). Težava se pojavi v Firefoxu, Chromu in brskalnikih, ki temeljijo na njihovih motorjih, vključno z brskalnikom Tor in Brave.
Glava Alt-Svc strežniku omogoča, da določi alternativni način dostopa do spletnega mesta in brskalniku naroči, naj preusmeri zahtevo na novega gostitelja, na primer za uravnoteženje obremenitve. Prav tako je mogoče določiti omrežna vrata za posredovanje, na primer podajanje 'Alt-Svc: http/1.1="other.example.com:443";ma=200' naroči odjemalcu, naj se poveže z gostiteljem other.example .org za sprejem zahtevane strani prek omrežnih vrat 443 in protokola HTTP/1.1. Parameter "ma" določa največje trajanje preusmeritve. Poleg HTTP/1.1 so kot protokoli podprti tudi HTTP/2-over-TLS (h2), HTTP/2-over plain text (h2c), SPDY(spdy) in QUIC (quic) z uporabo UDP.
Za skeniranje naslovov lahko napadalčeva stran zaporedno išče interne omrežne naslove in omrežna vrata, ki jih zanimajo, pri čemer kot znak uporabi zakasnitev med ponavljajočimi se zahtevami.
Če preusmerjeni vir ni na voljo, brskalnik v odgovor takoj prejme paket RST in takoj označi nadomestno storitev kot nedosegljivo ter ponastavi življenjsko dobo preusmeritve, navedeno v zahtevi.
Če so omrežna vrata odprta, bo vzpostavitev povezave trajala dlje (poskusil se bo vzpostaviti povezava z ustrezno izmenjavo paketov) in brskalnik se ne bo takoj odzval.
Za pridobitev informacij o preverjanju lahko napadalec takoj preusmeri uporabnika na drugo stran, ki se bo v glavi Alt-Svc nanašala na napadalčev delujoči gostitelj. Če odjemalčev brskalnik pošlje zahtevo na to stran, potem lahko domnevamo, da je bila prva preusmeritev zahteve Alt-Svc ponastavljena in da gostitelj in vrata, ki se testirajo, niso na voljo. Če zahteva ni prejeta, potem podatki o prvi preusmeritvi še niso potekli in je povezava vzpostavljena.
Ta metoda omogoča tudi preverjanje omrežnih vrat, ki jih je brskalnik uvrstil na črno listo, kot so vrata poštnega strežnika. Delujoč napad je bil pripravljen z zamenjavo iframe v prometu žrtve in uporabo protokola HTTP/2 v Alt-Svc za Firefox in QUIC za skeniranje vrat UDP v Chromu. V brskalniku Tor napada ni mogoče uporabiti v kontekstu notranjega omrežja in lokalnega gostitelja, vendar je primeren za organiziranje prikritega skeniranja zunanjih gostiteljev prek izhodnega vozlišča Tor. Težava že pri skeniranju vrat v Firefoxu 68.
Uporabite lahko tudi glavo Alt-Svc:
- Pri organizaciji DDoS napadov. Na primer, za TLS lahko preusmeritev zagotovi 60-kratno raven povečanja, saj začetna zahteva odjemalca zavzame 500 bajtov, odgovor s potrdilom pa je približno 30 KB. Z generiranjem podobnih zahtev v zanki na več sistemih odjemalcev lahko izčrpate omrežne vire, ki so na voljo strežniku;
- Za obhod mehanizmov za preprečevanje lažnega predstavljanja in zlonamerne programske opreme, ki jih zagotavljajo storitve, kot je varno brskanje (preusmeritev na zlonamernega gostitelja ne povzroči opozorila);
- Organizirati sledenje gibanju uporabnikov. Bistvo metode je zamenjava okvirja iframe, ki se v Alt-Svc sklicuje na zunanji upravljalnik sledenja gibanju, ki se kliče ne glede na vključitev orodij za preprečevanje sledenja. Možno je tudi sledenje na ravni ponudnika z uporabo enoličnega identifikatorja v Alt-Svc (naključni IP:port kot identifikator) z njegovo naknadno analizo v tranzitnem prometu;
- Za pridobitev podatkov o zgodovini gibanja. Z vstavljanjem slik z določenega mesta, ki uporablja Alt-Svc, na svojo stran iframe z zahtevo in analizo stanja Alt-Svc v prometu, lahko napadalec, ki ima možnost analiziranja tranzitnega prometa, sklepa, da je uporabnik predhodno obiskal navedeno spletno mesto;
- Hrupni dnevniki sistemov za odkrivanje vdorov. Prek Alt-Svc lahko povzročite val zahtev zlonamernim sistemom v imenu uporabnika in ustvarite videz lažnih napadov, da skrijete informacije o resničnem napadu v splošnem obsegu.
Vir: opennet.ru