uBlock Origin'de kullanılan filtre kullanıcının yerel sisteminde tipik ağ bağlantı noktası tarama komut dosyalarının engellenmesine yönelik kurallar eklendi. Mayıs ayında şunu hatırlatalım. eBay.com'u açarken yerel bağlantı noktalarını taramak. Bu uygulamanın sadece eBay ile sınırlı olmadığı ve birçok (Citibank, TD Bank, Sky, GumTree, WePay vb.), ThreatMetrix hizmeti tarafından sağlanan saldırıya uğramış bilgisayarlardan gelen erişim girişimlerini tespit etmek için kod kullanarak, sayfalarını açarken kullanıcının yerel sisteminin bağlantı noktası taramasını kullanır.
eBay durumunda, VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin ve RDP gibi uzaktan erişim sunucularıyla ilişkili 14 ağ bağlantı noktası kontrol edildi. Muhtemelen kontrol sürüyor Botnet'leri kullanarak hileli satın alma işlemlerini önlemek için kötü amaçlı yazılımların neden olduğu sistem hasarı izlerinin varlığı. Tarama aynı zamanda dolaylı olarak veri elde etmek için de kullanılabilir. .
Tarama için kullanılan bir teknik, 127.0.0.1 ana bilgisayarının (localhost) çeşitli ağ bağlantı noktalarına bağlantı kurma girişimine dayanmaktadır. . Açık bir ağ bağlantı noktasının varlığı, etkin ve kullanılmayan ağ bağlantı noktalarına yapılan bağlantıların hata işlemesindeki farklılığa dayalı olarak dolaylı olarak belirlenir. WebSocket yalnızca HTTP istekleri göndermenize izin verir, ancak etkin olmayan bir ağ bağlantı noktası için böyle bir istek hemen başarısız olur ve etkin bir bağlantı noktası için ise ancak bağlantıda anlaşmaya varmak için bir süre harcandıktan sonra başarısız olur. Ek olarak, bağlantı noktasının etkin olmaması durumunda WebSocket bir bağlantı hata kodu (ERR_CONNECTION_REFUSED) ve etkin bağlantı noktası olması durumunda ise bir bağlantı anlaşması hata kodu verir.
Bağlantı noktası taramasına ek olarak WebSockets ayrıca Yerel sistemdeki React uygulamaları için WebSocket işleyicilerini çalıştıran web geliştiricilerinin sistemlerine yönelik saldırılar için. Harici bir site, ağ bağlantı noktalarını arayabilir, böyle bir işleyicinin varlığını belirleyebilir ve ona bağlanabilir. Geliştiricinin bir hata yapması durumunda saldırgan, yarım yamalak hassas bilgiler içerebilecek hata ayıklama verilerinin içeriğini elde edebilir.
Kaynak: opennet.ru