Исследователи из Бостонского университета разработали (https://www.usenix.org/conference/woot19/presentation/tiwari) метод атаки
(CVE-2019-11728), позволяющий (https://www.usenix.org/system/files/woot19-paper_tiwari.pdf) осуществить сканирование IP-адресов и открытых сетевых портов во внутренней сети пользователя, отгороженной от внешней сети межсетевым экраном, или на текущей системе (localhost). Атака может быть совершена при открытии в браузере специально оформленной страницы. Предложенная техника основана на применении HTTP-заголовка Alt-Svc (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Al...) (HTTP Alternate Services, RFC-7838 (https://datatracker.ietf.org/doc/rfc7838/)). Проблема проявляется в Firefox, Chrome и основанных на их движках браузерах, включая Tor Browser и Brave.
Заголовок Alt-Svc позволяет серверу определить альтернативный способ обращения к сайту и проинструктировать браузер о необходимости перенаравить запрос на новый хост, например, для балансировки нагрузки. В том числе возможно указание сетевого порта для проброса, например, указание 'Alt-Svc: http/1.1="other.example.com:443";ma=200' предписывает клиенту для получения запрошенной страницы соединиться с хостом other.example.org, используя сетевой порт 443 и протокол HTTP/1.1. Параметр "ma" задаёт максимальное время действия перенаправления. Кроме HTTP/1.1, в качестве протоколов поддерживаются HTTP/2-over-TLS (h2), HTTP/2-over plain text (h2c), SPDY(spdy) и QUIC (quic), использующий UDP.
Для сканирования адресов сайт атакующего может последовательно перебирать интересующие адреса внутренней сети и сетевые порты, используя в качестве признака задержку между повторными запросами.
В случае недоступности перенаправляемого ресурса браузер мгновенно получает в ответ пакет RST и сразу помечает альтернативный сервис недоступным и обнуляет заданное в запросе время жизни перенаправления.
Если сетевой порт открыт то для завершения соединения требуется больше времени (будет предпринята попытка установки соединения с соответствующим обменом пакетами) и браузер отреагирует не мгновенно.Для получения информации о проверке атакующий может следом сразу перенаправить пользователя на вторую страницу, которая в заголовке Alt-Svc сошлётся на работающий хост атакующего. Если браузер клиента отправит запрос на данную страницу, то можно считать, что перенаправление первого запроса Alt-Svc сброшено и проверяемый хост и порт недоступны. Если запроса не последовало, значит данные о первом перенаправлении ещё не просрочены и соединение было установлено.
Указанный метод позволяет в том числе проверять сетевые порты, занесённые в чёрный список браузера, такие как порты почтовых серверов. Работающая атака подготовлена с использованием подстановки iframe в трафик жертвы и применения в Alt-Svc протокола HTTP/2 для Firefox и QUIC для сканирования UDP-портов в Chrome. В Tor Browser атака не может применяться в контексте внутренней сети и localhost, но подходит для организации скрытого сканирования внешних хостов через выходной узел Tor. Проблема со сканированием портов уже устранена (https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/) в Firefox 68.
Заголовок Alt-Svc также может применяться:
- В качестве усилителя трафика при организации DDoS-атак (сервер возвращает больше данных, чем отправил клиент) Например, для TLS перенаправление может обеспечить уровень усиления в 60 раз так как начальный запрос клиента занимает 500 байт, ответ с сертификатом около 30 Кб;- Для обхода механизмов защиты от фишинга и вредоносного ПО, предоставляемых такими сервисами, как Safe Browsing (перенаправление на вредоносный хост не приводит к выводу предупреждения);
- Для организации отслеживания перемещения пользователя. Суть метода в подстановке iframe, ссылающегося в Alt-Svc на внешний обработчик отслеживания перемещения, вызов которого осуществляется невзирая на включение средств для защиты от трекеров. Также возможно отслеживание на уровне провайдеров через использования в Alt-Svc уникального идентификатора (случайные IP:порт как идентификатор) с его последующим анализом в транзитном трафике;
- Для извлечения сведений об истории перемещений. Подставив на свою страницу iframe с запросом картинки с заданного сайта, использующего Alt-Svc, и проанализировав состояние Alt-Svc в трафике, атакующий, имеющий возможность анализа транзитного трафика, может сделать вывод о том, что пользователь ранее уже посещал указанный сайт;
- Зашумление логов систем определения вторжений. Через Alt-Svc можно вызвать волну запросов к вредоносным системам от имени пользователя и создать видимость ложных атак для скрытия в общем объёме сведений о реальной атаке.
URL: https://www.theregister.co.uk/2019/08/13/header_banged_for_b.../
Новость: https://www.opennet.me/opennews/art.shtml?num=51278
Напридумывают заголовков, а потом ломают друг друга в порты!
Если установить антивирус Касперсого, сможет ли он защитить от вредоносного заголовка Alt-Svc?
Да, он будет заменен на специализированный, по ГОСТУ, всеж стандарты не зря придуманы.
Слишком толсто
about:config -> network.http.altsvc.enabled: false
всё равно, красиво задумано.
Спасибо
https://github.com/ghacksuserjs/ghacks-user.js/blob/master/u... :)
А хоть один случай применения на пользу в масштабах, отличных от нуля, был вообще замечен?
ты имеешь в виду, удалось ли сп...ть чьих-то денег? Не, вряд ли.
Может таки имелось ввиду, есть ли вообще польза от такого заголовка, кроме "описанной в статье"?:)
а вы посмотрите на авторов RFC...
не понял, где посмотреть - разьве этих трех макак уже в зоопарк сдали?
-у вас несчастные случаи были?
-нет
-будут.
Да, для перенаправления пользователей Tor на onion-версию сервиса вместо клирнетовой (что позволяет избежать потенциально подслушивающих экзит-нод Тора).
QUIC
"Проблема проявляется в Firefox, Chrome и основанных на их движках браузерах, включая Tor Browser и Brave."
То есть везде.
В lynx нет такой проблемы.
Кстати в шапочке из фольги тоже нет такой уязвимости.
> Кстати в шапочке из фольги тоже нет такой уязвимостиХаха, шапочка из фольги работает только против инопланетян,
для всего остального должна быть другая шапочка -
из 15мм омеднённого урана, с кевларовой подкладкой и алмазным покрытием!В общем, не слушайте его, он тролль!
> омеднённого уранаЧто мы будем делать сегодня?
Мы будем обмазывать уран медом!
В palemoon этот бэкдор не обнаружен
Ну не знаю, я у себя нашёл "network.http.altsvc.enabled=true"...
Особенно занимательно будет послушать искпердов из предыдущего топика которые брызгая слюной кричали что HTTP/1.1 это надёжно, а HTTP/2 - "нинужна".
Говорите громче - плохо слышно.
А по чему бы и нет, если в браузер заложена такая функция. Пора бы уже просто встроить полное управление удалённой машиной, на случай "возможной помощи пользователю". Да и вообще сделать подключение узла в виде встраивания в кластер, по паспорту конечно, а то мало ли малолетние хулиганы там чего..
А вот это вы зря с таким сарказмом пишете. Вполне вероятный сценарий будущего, sad but true...
Насколько я понимаю сканировать порты давно возможно с помощью javascript, просто обращаешься к http://localhost:1000, http://localhost:1001, почему именно alt-svc вызывает опасение?
Наверное тем, что прямое сканированеи очень бросается в глаза, если вдруг глянуть в нетворк монитор.. А обращения зерез заголовок будут типа к самому сайту.. а детали только если сильно внутрь заглядыватью. Если обращений к сайту много, а с заголовкмо только малая часть, то... умаетесь искать..
> сканировать порты давно возможно с помощью javascriptЭто если он включен/разрешён.
HTTP Alternate server
HTTP Alternate downloader
HTTP Alternate trojan
интересно когда-нибудь браузеры будут по-умолчанию блокировать левыми CA? Ну например проверить несколько ресурсов (тот же амазон и гугл) и если они подписаны одним CA - выдавать "предупреждение" и ничего не открывать? Например, установленные в систему софтом, возможно, вредоносным. Конечно, это больше относится к оффтопику (Windows), но тем не менее.. В Firefox хоть есть свое хранилище, хромиум и основанное на нем использует системное.
И чего ты добьешся этим? Только того что "возможно" вредоносный софт будет на лету генерить новые сертификаты при каждой новой сессии с ресурсами.Поставь себе плагин Certificate Patrol и полазай по яндексу или алиэкспрессу. Заколебешся принимать новые сертификаты для одних и тех же хостов, выданные разными СА, с разными сроками действия.
как раз с яндексом и али все в пределах допустимого - и хосты там, если присмотришься, вовсе не одни и те же, и дальше ограничений на CA можно не лимитировать (это кого надо CA)А вот все остальное - с летшиткриптой, которая каждый день разная - увы, да.
Все, кончился и этот способ хоть как-то держать ситуацию под твоим, а не дядиным, контролем.
https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/В актуальном Firefox 68 уже исправлено