นักวิจัยจากมหาวิทยาลัยบอสตัน วิธีการโจมตี
(CVE-2019-11728) สแกนที่อยู่ IP และเปิดพอร์ตเครือข่ายบนเครือข่ายภายในของผู้ใช้ ปิดล้อมจากเครือข่ายภายนอกด้วยไฟร์วอลล์ หรือบนระบบปัจจุบัน (localhost) การโจมตีสามารถทำได้เมื่อเปิดหน้าที่ออกแบบเป็นพิเศษในเบราว์เซอร์ เทคนิคที่นำเสนอจะขึ้นอยู่กับการใช้ส่วนหัว HTTP (บริการทางเลือก HTTP ). ปัญหาเกิดขึ้นใน Firefox, Chrome และเบราว์เซอร์ตามเอ็นจิ้น รวมถึง Tor Browser และ Brave
ส่วนหัว Alt-Svc ช่วยให้เซิร์ฟเวอร์กำหนดวิธีอื่นในการเข้าถึงไซต์และสั่งให้เบราว์เซอร์เปลี่ยนเส้นทางคำขอไปยังโฮสต์ใหม่ เช่น เพื่อการปรับสมดุลโหลด นอกจากนี้ยังสามารถระบุพอร์ตเครือข่ายสำหรับการส่งต่อได้ เช่น การระบุ 'Alt-Svc: http/1.1="other.example.com:443";ma=200' จะสั่งให้ไคลเอ็นต์เชื่อมต่อกับโฮสต์ other.example .org เพื่อรับหน้าที่ร้องขอโดยใช้พอร์ตเครือข่าย 443 และโปรโตคอล HTTP/1.1 พารามิเตอร์ "ma" ระบุระยะเวลาการเปลี่ยนเส้นทางสูงสุด นอกจาก HTTP/1.1 แล้ว HTTP/2-over-TLS (h2), ข้อความธรรมดา HTTP/2-over (h2c), SPDY(spdy) และ QUIC (quic) ที่ใช้ UDP ยังได้รับการสนับสนุนเป็นโปรโตคอลอีกด้วย
ในการสแกนที่อยู่ ไซต์ของผู้โจมตีสามารถค้นหาที่อยู่เครือข่ายภายในและพอร์ตเครือข่ายที่สนใจตามลำดับ โดยใช้การหน่วงเวลาระหว่างคำขอซ้ำ ๆ เป็นสัญญาณ
หากทรัพยากรที่เปลี่ยนเส้นทางไม่พร้อมใช้งาน เบราว์เซอร์จะได้รับแพ็กเก็ต RST ทันทีและทำเครื่องหมายบริการอื่นว่าไม่พร้อมใช้งานทันที และรีเซ็ตอายุการใช้งานการเปลี่ยนเส้นทางที่ระบุในคำขอ
หากพอร์ตเครือข่ายเปิดอยู่ การเชื่อมต่อจะใช้เวลานานกว่า (จะพยายามสร้างการเชื่อมต่อกับการแลกเปลี่ยนแพ็กเก็ตที่เกี่ยวข้อง) และเบราว์เซอร์จะไม่ตอบสนองทันที
หากต้องการรับข้อมูลเกี่ยวกับการตรวจสอบ ผู้โจมตีสามารถเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าที่สองได้ทันที ซึ่งในส่วนหัวของ Alt-Svc จะอ้างอิงถึงโฮสต์ที่ทำงานอยู่ของผู้โจมตี หากเบราว์เซอร์ของไคลเอนต์ส่งคำขอไปยังหน้านี้ เราสามารถสรุปได้ว่าการเปลี่ยนเส้นทางคำขอ Alt-Svc แรกถูกรีเซ็ตแล้ว และโฮสต์และพอร์ตที่กำลังทดสอบไม่พร้อมใช้งาน หากไม่ได้รับคำขอ แสดงว่าข้อมูลเกี่ยวกับการเปลี่ยนเส้นทางครั้งแรกยังไม่หมดอายุและมีการสร้างการเชื่อมต่อแล้ว
วิธีนี้ยังช่วยให้คุณตรวจสอบพอร์ตเครือข่ายที่เบราว์เซอร์ขึ้นบัญชีดำได้ เช่น พอร์ตเมลเซิร์ฟเวอร์ การโจมตีที่ใช้งานได้จัดทำขึ้นโดยใช้การทดแทน iframe ในการรับส่งข้อมูลของเหยื่อ และใช้โปรโตคอล HTTP/2 ใน Alt-Svc สำหรับ Firefox และ QUIC เพื่อสแกนพอร์ต UDP ใน Chrome ใน Tor Browser การโจมตีไม่สามารถนำมาใช้ในบริบทของเครือข่ายภายในและ localhost ได้ แต่เหมาะสำหรับการจัดระเบียบการสแกนแอบแฝงของโฮสต์ภายนอกผ่านโหนดทางออกของ Tor มีปัญหากับการสแกนพอร์ตแล้ว ในไฟร์ฟอกซ์ 68
ส่วนหัว Alt-Svc ยังสามารถใช้ได้:
- เมื่อจัดการโจมตี DDoS ตัวอย่างเช่น สำหรับ TLS การเปลี่ยนเส้นทางสามารถให้ระดับที่ได้รับ 60 เท่า เนื่องจากคำขอไคลเอ็นต์เริ่มแรกใช้เวลา 500 ไบต์ การตอบกลับด้วยใบรับรองจะมีขนาดประมาณ 30 KB ด้วยการสร้างคำขอที่คล้ายกันในลูปบนระบบไคลเอนต์หลายตัว คุณสามารถสิ้นเปลืองทรัพยากรเครือข่ายที่มีให้กับเซิร์ฟเวอร์ได้
- เพื่อเลี่ยงกลไกป้องกันฟิชชิ่งและป้องกันมัลแวร์ที่ให้บริการ เช่น Safe Browsing (การเปลี่ยนเส้นทางไปยังโฮสต์ที่เป็นอันตรายจะไม่ส่งผลให้เกิดคำเตือน)
- เพื่อจัดระเบียบการติดตามความเคลื่อนไหวของผู้ใช้ สาระสำคัญของวิธีนี้คือการแทนที่ iframe ที่อ้างอิงถึงตัวจัดการการติดตามการเคลื่อนไหวภายนอกใน Alt-Svc ซึ่งถูกเรียกโดยไม่คำนึงถึงการรวมเครื่องมือต่อต้านการติดตาม นอกจากนี้ยังสามารถติดตามในระดับผู้ให้บริการผ่านการใช้ตัวระบุที่ไม่ซ้ำกันใน Alt-Svc (IP แบบสุ่ม: พอร์ตเป็นตัวระบุ) พร้อมการวิเคราะห์ที่ตามมาในการรับส่งข้อมูลการขนส่ง
- เพื่อดึงข้อมูลประวัติการเคลื่อนไหว ด้วยการแทรกรูปภาพจากไซต์ที่กำหนดซึ่งใช้ Alt-Svc ลงในหน้า iframe พร้อมคำขอและวิเคราะห์สถานะของ Alt-Svc ในการรับส่งข้อมูล ผู้โจมตีที่มีความสามารถในการวิเคราะห์การรับส่งข้อมูลการขนส่งสาธารณะสามารถสรุปได้ว่าผู้ใช้เคยเยี่ยมชมที่ระบุก่อนหน้านี้ เว็บไซต์;
- บันทึกที่มีเสียงดังของระบบตรวจจับการบุกรุก ด้วย Alt-Svc คุณสามารถก่อให้เกิดคลื่นคำขอไปยังระบบที่เป็นอันตรายในนามของผู้ใช้ และสร้างลักษณะการโจมตีที่ผิดพลาดเพื่อซ่อนข้อมูลเกี่ยวกับการโจมตีจริงในปริมาณทั่วไป
ที่มา: opennet.ru