Forskare från Boston University attackmetoden
(CVE-2019-11728) skanna IP-adresser och öppna nätverksportar på användarens interna nätverk, avskärmade från det externa nätverket av en brandvägg eller på det aktuella systemet (localhost). Attacken kan utföras när man öppnar en specialdesignad sida i webbläsaren. Den föreslagna tekniken är baserad på användningen av en HTTP-header (alternativa HTTP-tjänster, ). Problemet uppstår i Firefox, Chrome och webbläsare baserat på deras motorer, inklusive Tor Browser och Brave.
Alt-Svc-huvudet låter servern bestämma ett alternativt sätt att komma åt webbplatsen och instruera webbläsaren att omdirigera begäran till en ny värd, till exempel för lastbalansering. Det är också möjligt att ange nätverksporten för vidarebefordran, till exempel genom att ange 'Alt-Svc: http/1.1="other.example.com:443";ma=200' instruerar klienten att ansluta till värden other.example .org för att ta emot den begärda sidan med nätverksport 443 och HTTP/1.1-protokoll. Parametern "ma" anger den maximala omdirigeringslängden. Förutom HTTP/1.1 stöds HTTP/2-over-TLS (h2), HTTP/2-over vanlig text (h2c), SPDY(spdy) och QUIC (quic) som använder UDP som protokoll.
För att skanna adresser kan angriparens webbplats sekventiellt söka igenom de interna nätverksadresserna och nätverksportarna av intresse, med fördröjningen mellan upprepade förfrågningar som ett tecken.
Om den omdirigerade resursen inte är tillgänglig tar webbläsaren omedelbart emot ett RST-paket som svar och markerar omedelbart den alternativa tjänsten som otillgänglig och återställer omdirigeringslivslängden som anges i begäran.
Om nätverksporten är öppen tar det längre tid att slutföra anslutningen (ett försök kommer att göras att upprätta en anslutning till motsvarande paketutbyte) och webbläsaren svarar inte omedelbart.
För att få information om verifieringen kan angriparen sedan omedelbart omdirigera användaren till en andra sida, som i Alt-Svc-huvudet kommer att referera till angriparens körande värd. Om klientens webbläsare skickar en begäran till den här sidan kan vi anta att den första omdirigeringen av Alt-Svc-begäran har återställts och värden och porten som testas är otillgängliga. Om begäran inte tas emot har data om den första omdirigeringen ännu inte gått ut och anslutningen har upprättats.
Den här metoden låter dig också kontrollera nätverksportar som är svartlistade av webbläsaren, till exempel e-postserverportar. En fungerande attack förbereddes med hjälp av iframe-ersättning i offrets trafik och användningen av HTTP/2-protokollet i Alt-Svc för Firefox och QUIC för att skanna UDP-portar i Chrome. I Tor Browser kan attacken inte användas i samband med det interna nätverket och localhost, men är lämplig för att organisera hemlig scanning av externa värdar genom en Tor-utgångsnod. Problem med portskanning redan i Firefox 68.
Alt-Svc-huvudet kan också användas:
- När du organiserar DDoS-attacker. Till exempel, för TLS, kan en omdirigering ge en förstärkningsnivå på 60 gånger eftersom den initiala klientbegäran tar 500 byte, svaret med ett certifikat är cirka 30 KB. Genom att generera liknande förfrågningar i en loop på flera klientsystem kan du förbruka nätverksresurserna som är tillgängliga för servern;
- Att kringgå anti-phishing och anti-malware-mekanismer som tillhandahålls av tjänster som Safe Browsing (omdirigering till en skadlig värd resulterar inte i en varning);
- För att organisera spårning av användarrörelser. Kärnan i metoden är ersättningen av en iframe som refererar i Alt-Svc till en extern rörelsespårningshanterare, som kallas oavsett inkluderandet av antispårningsverktyg. Det är också möjligt att spåra på leverantörsnivå genom att använda en unik identifierare i Alt-Svc (slumpmässig IP:port som identifierare) med dess efterföljande analys i transittrafik;
- För att hämta rörelsehistorikinformation. Genom att infoga bilder från en given webbplats som använder Alt-Svc på sin iframe-sida med en begäran och analysera tillståndet för Alt-Svc i trafiken kan en angripare som har förmågan att analysera transittrafik dra slutsatsen att användaren tidigare har besökt den angivna webbplats;
- Bullriga loggar över intrångsdetekteringssystem. Genom Alt-Svc kan du orsaka en våg av förfrågningar till skadliga system på uppdrag av användaren och skapa sken av falska attacker för att dölja information om en riktig attack i den allmänna volymen.
Källa: opennet.ru