波士顿大学的研究人员 攻击方式
(CVE-2019-11728), 扫描 IP 地址并打开用户内部网络(通过防火墙与外部网络隔离)或当前系统 (localhost) 上的网络端口。 当在浏览器中打开专门设计的页面时,就可以进行攻击。 所提出的技术基于 HTTP 标头的使用 (HTTP 替代服务, )。 该问题出现在 Firefox、Chrome 以及基于其引擎的浏览器中,包括 Tor 浏览器和 Brave。
Alt-Svc 标头允许服务器确定访问站点的替代方式,并指示浏览器将请求重定向到新主机,例如用于负载平衡。 也可以指定转发的网络端口,例如指定 'Alt-Svc: http/1.1="other.example.com:443";ma=200' 指示客户端连接主机 other.example .org 使用网络端口 443 和 HTTP/1.1 协议接收请求的页面。 “ma”参数指定最大重定向持续时间。 除了 HTTP/1.1 之外,还支持使用 UDP 的 HTTP/2-over-TLS (h2)、HTTP/2-over plain text (h2c)、SPDY(spdy) 和 QUIC (quic) 作为协议。
为了扫描地址,攻击者的站点可以使用重复请求之间的延迟作为标志,顺序搜索感兴趣的内部网络地址和网络端口。
如果重定向的资源不可用,浏览器会立即收到 RST 数据包作为响应,并立即将替代服务标记为不可用,并重置请求中指定的重定向生命周期。
如果网络端口打开,则需要更长的时间才能完成连接(将尝试与相应的数据包交换建立连接),并且浏览器不会立即响应。
为了获取有关验证的信息,攻击者可以立即将用户重定向到第二个页面,该页面在 Alt-Svc 标头中将引用攻击者正在运行的主机。 如果客户端的浏览器向该页面发送请求,那么我们可以假设第一个 Alt-Svc 请求重定向已重置,并且正在测试的主机和端口不可用。 如果没有收到请求,则说明第一次重定向的数据尚未过期,连接已建立。
该方法还允许您检查浏览器列入黑名单的网络端口,例如邮件服务器端口。 使用受害者流量中的 iframe 替换以及在 Firefox 和 QUIC 的 Alt-Svc 中使用 HTTP/2 协议来扫描 Chrome 中的 UDP 端口来准备有效的攻击。 在 Tor 浏览器中,该攻击不能在内部网络和本地主机的上下文中使用,但适合通过 Tor 出口节点组织对外部主机的隐蔽扫描。 端口扫描已经出现问题 在火狐 68 中。
还可以使用 Alt-Svc 标头:
- 在组织DDoS攻击时。 例如,对于 TLS,重定向可以提供 60 倍的增益级别,因为初始客户端请求需要 500 字节,带有证书的响应约为 30 KB。 通过在多个客户端系统上循环生成类似的请求,您可能会耗尽服务器可用的网络资源;
- 绕过安全浏览等服务提供的反网络钓鱼和反恶意软件机制(重定向到恶意主机不会导致警告);
- 组织对用户移动的跟踪。 该方法的本质是替换在 Alt-Svc 中引用外部移动跟踪处理程序的 iframe,无论是否包含反跟踪工具,都会调用该处理程序。 还可以通过在 Alt-Svc 中使用唯一标识符(随机 IP:端口作为标识符)及其对中转流量的后续分析,在提供商级别进行跟踪;
- 检索移动历史信息。 通过将使用 Alt-Svc 的给定站点的图像插入到其 iframe 页面中并发出请求,并分析流量中 Alt-Svc 的状态,能够分析中转流量的攻击者可以断定用户之前访问过指定的网站地点;
- 入侵检测系统的噪音日志。 通过 Alt-Svc,您可以代表用户向恶意系统发出一波请求,并创建虚假攻击的外观,以隐藏一般卷中有关真实攻击的信息。
来源: opennet.ru