جرمنی کی متعدد یونیورسٹیوں کے محققین کی ایک ٹیم نے HTTPS پر ایک نیا MITM حملہ تیار کیا ہے جو سیشن کوکیز اور دیگر حساس ڈیٹا کو نکال سکتا ہے، اور ساتھ ہی دوسری سائٹ کے تناظر میں صوابدیدی JavaScript کوڈ کو بھی چلا سکتا ہے۔ حملے کو ALPACA کہا جاتا ہے اور TLS سرورز پر لاگو کیا جا سکتا ہے جو مختلف ایپلیکیشن لیئر پروٹوکول (HTTPS, SFTP, SMTP, IMAP, POP3) کو لاگو کرتے ہیں، لیکن عام TLS سرٹیفکیٹ استعمال کرتے ہیں۔
حملے کا خلاصہ یہ ہے کہ اگر اس کا نیٹ ورک گیٹ وے یا وائرلیس ایکسیس پوائنٹ پر کنٹرول ہے تو حملہ آور ویب ٹریفک کو کسی دوسرے نیٹ ورک پورٹ پر بھیج سکتا ہے اور FTP یا میل سرور کے ساتھ کنکشن کے قیام کو منظم کر سکتا ہے جو TLS انکرپشن کو سپورٹ کرتا ہے اور اس کا استعمال کرتا ہے۔ TLS سرٹیفکیٹ HTTP سرور کے ساتھ عام ہے، اور صارف کا براؤزر یہ سمجھے گا کہ درخواست کردہ HTTP سرور کے ساتھ کنکشن قائم ہو گیا ہے۔ چونکہ TLS پروٹوکول یونیورسل ہے اور ایپلیکیشن لیول پروٹوکول سے منسلک نہیں ہے، اس لیے تمام سروسز کے لیے ایک انکرپٹڈ کنکشن کا قیام یکساں ہے اور غلط سروس کو درخواست بھیجنے کی غلطی کا تعین صرف ایک انکرپٹڈ سیشن کے قیام کے بعد کیا جا سکتا ہے۔ بھیجی گئی درخواست کے احکامات۔
اس کے مطابق، اگر، مثال کے طور پر، آپ کسی صارف کے کنکشن کو جو اصل میں HTTPS کو ایڈریس کیا گیا ہے کسی میل سرور پر بھیجتے ہیں جو HTTPS سرور کے ساتھ اشتراک کردہ سرٹیفکیٹ کا استعمال کرتا ہے، تو TLS کنکشن کامیابی کے ساتھ قائم ہو جائے گا، لیکن میل سرور منتقلی پر کارروائی نہیں کر سکے گا۔ HTTP حکم دیتا ہے اور ایرر کوڈ کے ساتھ جواب واپس کرے گا۔ اس جواب پر براؤزر درخواست کردہ سائٹ کے جواب کے طور پر کارروائی کرے گا، جو ایک درست طریقے سے قائم کردہ انکرپٹڈ کمیونیکیشن چینل کے اندر منتقل کیا جائے گا۔
حملے کے تین اختیارات تجویز کیے گئے ہیں:
- تصدیقی پیرامیٹرز کے ساتھ کوکی کو بازیافت کرنے کے لیے "اپ لوڈ" کریں۔ طریقہ کار لاگو ہوتا ہے اگر TLS سرٹیفکیٹ کے ذریعے احاطہ کیا گیا FTP سرور آپ کو اپنا ڈیٹا اپ لوڈ کرنے اور بازیافت کرنے کی اجازت دیتا ہے۔ اس حملے کے مختلف قسم میں، حملہ آور صارف کی اصل HTTP درخواست کے کچھ حصوں کو برقرار رکھنے کو حاصل کر سکتا ہے، جیسے کوکی ہیڈر کے مواد، مثال کے طور پر، اگر FTP سرور درخواست کو محفوظ فائل کے طور پر بیان کرتا ہے یا آنے والی درخواستوں کو مکمل طور پر لاگ کرتا ہے۔ کامیابی سے حملہ کرنے کے لیے، حملہ آور کو پھر کسی طرح ذخیرہ شدہ مواد کو نکالنے کی ضرورت ہوتی ہے۔ حملہ Proftpd، Microsoft IIS، vsftpd، filezilla اور serv-u پر لاگو ہوتا ہے۔
- کراس سائٹ اسکرپٹنگ (XSS) کو منظم کرنے کے لیے "ڈاؤن لوڈ" کریں۔ اس طریقہ سے یہ ظاہر ہوتا ہے کہ حملہ آور، کچھ انفرادی ہیرا پھیری کے نتیجے میں، ڈیٹا کو ایسی سروس میں رکھ سکتا ہے جو ایک عام TLS سرٹیفکیٹ استعمال کرتی ہے، جسے صارف کی درخواست کے جواب میں جاری کیا جا سکتا ہے۔ حملے کا اطلاق اوپر بیان کردہ FTP سرورز، IMAP سرورز اور POP3 سرورز (کورئیر، سائرس، کیریو کنیکٹ اور زمبرا) پر ہوتا ہے۔
- دوسری سائٹ کے تناظر میں جاوا اسکرپٹ کو چلانے کے لیے "انعکاس"۔ طریقہ درخواست کے کلائنٹ کے حصے پر واپس آنے پر مبنی ہے، جس میں حملہ آور کی طرف سے بھیجا گیا JavaScript کوڈ ہوتا ہے۔ یہ حملہ اوپر بیان کردہ FTP سرورز، سائرس، کیریو کنیکٹ اور زمبرا IMAP سرورز کے ساتھ ساتھ sendmail SMTP سرور پر بھی لاگو ہوتا ہے۔
مثال کے طور پر، جب کوئی صارف حملہ آور کے زیر کنٹرول صفحہ کھولتا ہے، تو یہ صفحہ کسی ایسی سائٹ سے وسائل کی درخواست شروع کر سکتا ہے جہاں صارف کا ایک فعال اکاؤنٹ ہے (مثال کے طور پر، bank.com)۔ MITM حملے کے دوران، bank.com کی ویب سائٹ پر بھیجی گئی اس درخواست کو ایک ای میل سرور پر ری ڈائریکٹ کیا جا سکتا ہے جو TLS سرٹیفکیٹ استعمال کرتا ہے جو bank.com کے ساتھ شیئر کیا جاتا ہے۔ چونکہ میل سرور پہلی غلطی کے بعد سیشن کو ختم نہیں کرتا ہے، اس لیے سروس ہیڈر اور کمانڈز جیسے "POST/HTTP/1.1" اور "Host:" پر نامعلوم کمانڈز کے طور پر کارروائی کی جائے گی (میل سرور "500 غیر تسلیم شدہ کمانڈ" واپس کرے گا۔ ہر ایک ہیڈر)۔
میل سرور HTTP پروٹوکول کی خصوصیات کو نہیں سمجھتا ہے اور اس کے لئے سروس ہیڈر اور POST درخواست کے ڈیٹا بلاک پر اسی طرح کارروائی کی جاتی ہے، لہذا POST درخواست کے باڈی میں آپ کمانڈ کے ساتھ ایک لائن کی وضاحت کر سکتے ہیں۔ میل سرور. مثال کے طور پر، آپ پاس کر سکتے ہیں: MAIL FROM: alert(1); جس پر میل سرور غلطی کا پیغام 501 alert(1); واپس کرے گا: خراب ایڈریس: الرٹ (1); کی پیروی نہیں کرسکتا ہے۔
یہ جواب صارف کے براؤزر کو موصول ہوگا، جو جاوا اسکرپٹ کوڈ کو حملہ آور کی ابتدائی طور پر کھلی ویب سائٹ کے تناظر میں نہیں، بلکہ اس bank.com ویب سائٹ کے تناظر میں عمل میں لائے گا جس پر درخواست بھیجی گئی تھی، کیونکہ جواب درست TLS سیشن میں آیا تھا۔ جس کا سرٹیفکیٹ بینک ڈاٹ کام کے جواب کی صداقت کی تصدیق کرتا ہے۔
عالمی نیٹ ورک کے اسکین سے معلوم ہوا کہ عام طور پر تقریباً 1.4 ملین ویب سرورز اس مسئلے سے متاثر ہوتے ہیں، جس کے لیے مختلف پروٹوکولز کا استعمال کرتے ہوئے درخواستوں کو ملا کر حملہ کرنا ممکن ہے۔ حقیقی حملے کے امکان کا تعین 119 ہزار ویب سرورز کے لیے کیا گیا تھا جن کے لیے دیگر ایپلیکیشن پروٹوکولز پر مبنی TLS سرور موجود تھے۔
ftp سرورز pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla اور serv-u, IMAP اور POP3 سرورز dovecot, courier, exchange, cyrus, kerio-connect اور zimbra کے لیے استحصال کی مثالیں تیار کی گئی ہیں، SMTP سرورز پوسٹ فکس، ایگزم، بھیجیں ، mailenable، mdaemon اور opensmtpd۔ محققین نے صرف FTP، SMTP، IMAP اور POP3 سرورز کے ساتھ مل کر حملہ کرنے کے امکان کا مطالعہ کیا ہے، لیکن یہ ممکن ہے کہ یہ مسئلہ TLS استعمال کرنے والے دیگر ایپلیکیشن پروٹوکولز کے لیے بھی پیش آئے۔
حملے کو روکنے کے لیے، TLS سیشن کے لیے بات چیت کے لیے ALPN (ایپلیکیشن لیئر پروٹوکول نیگوشیئشن) ایکسٹینشن کا استعمال کرنے کی تجویز ہے اور SNI (سرور نیم انڈیکیشن) ایکسٹینشن کو استعمال کرنے کی صورت میں میزبان کے نام کا پابند کرنے کے لیے۔ TLS سرٹیفکیٹس جن میں کئی ڈومین نام شامل ہیں۔ درخواست کی طرف، یہ سفارش کی جاتی ہے کہ حکموں پر کارروائی کرتے وقت غلطیوں کی تعداد کو محدود کر دیا جائے، جس کے بعد کنکشن ختم ہو جاتا ہے۔ حملے کو روکنے کے لیے اقدامات تیار کرنے کا عمل گزشتہ سال اکتوبر میں شروع ہوا تھا۔ اسی طرح کے حفاظتی اقدامات Nginx 1.21.0 (میل پراکسی)، Vsftpd 3.0.4، Courier 5.1.0، Sendmail، FileZill، crypto/tls (Go) اور Internet Explorer میں پہلے ہی کیے جا چکے ہیں۔
ماخذ: opennet.ru