Berita itu baru-baru ini dirilis oleh sekelompok peneliti dari berbagai universitas di Jerman, yangs telah mengembangkan metode serangan MITM baru terhadap HTTPS, yang memungkinkan untuk mengekstrak cookie dengan ID sesi dan data sensitif lainnya, serta mengeksekusi kode JavaScript arbitrer dalam konteks situs lain.
Serangan itu disebut ALPACA dan dapat diterapkan ke server TLS Mereka menerapkan protokol lapisan aplikasi yang berbeda (HTTPS, SFTP, SMTP, IMAP, POP3), tetapi menggunakan sertifikat TLS umum.
Inti dari serangan itu adalah jika ada kontrol atas gateway jaringan atau titik akses nirkabel, penyerang dapat mengarahkan lalu lintas ke port jaringan yang berbeda dan atur untuk membuat koneksi bukan ke server HTTP, tetapi ke FTP atau server email yang mendukung enkripsi TLS.
Sejak protokol TLS bersifat universal dan tidak terikat pada protokol tingkat aplikasi, pembentukan koneksi terenkripsi untuk semua layanan identik dan kesalahan saat mengirim permintaan ke layanan yang salah hanya dapat dideteksi setelah pembentukan sesi terenkripsi selama pemrosesan. dari perintah permintaan yang diajukan.
Akibatnya, jika, misalnya, mengarahkan ulang koneksi pengguna, awalnya diarahkan ke HTTPS, ke server email menggunakan sertifikat umum dengan server HTTPS, koneksi TLS akan berhasil dibuat, tetapi server email tidak akan dapat memproses perintah HTTP yang ditransmisikan dan akan mengembalikan respons dengan kode kesalahan . Tanggapan ini akan diproses oleh browser sebagai tanggapan dari situs yang diminta, ditransmisikan dalam saluran komunikasi terenkripsi yang dibuat dengan benar.
Tiga opsi serangan diusulkan:
- «Unggah» untuk mengambil Cookie dengan parameter otentikasi: Metode ini berlaku jika server FTP yang dicakup oleh sertifikat TLS memungkinkan Anda mengunduh dan mengambil data Anda. Dalam varian serangan ini, penyerang dapat mempertahankan bagian dari permintaan HTTP asli pengguna, seperti konten header Cookie, misalnya, jika server FTP menafsirkan permintaan sebagai file untuk disimpan atau didaftarkan oleh penuh. permintaan yang masuk. Untuk serangan yang berhasil, penyerang perlu mengambil kembali konten yang disimpan. Serangan ini berlaku untuk Proftpd, Microsoft IIS, vsftpd, filezilla, dan serv-u.
- Unduh untuk skrip lintas situs (XSS): Metode ini menyiratkan bahwa penyerang, sebagai hasil dari beberapa manipulasi independen, dapat memasukkan data ke dalam layanan menggunakan sertifikat TLS umum, yang kemudian dapat dikeluarkan sebagai tanggapan atas permintaan dari pengguna. Serangan ini berlaku untuk server FTP, server IMAP, dan server POP3 yang disebutkan di atas (kurir, cyrus, kerio-connect, dan zimbra).
- Refleksi untuk menjalankan JavaScript dalam konteks situs lain: Metode ini didasarkan pada pengembalian sebagian permintaan ke klien, yang berisi kode JavaScript yang dikirim oleh penyerang. Serangan ini berlaku untuk server FTP yang disebutkan di atas, server IMAP cyrus, kerio-connect dan zimbra, serta server SMTP sendmail.
Misalnya ketika pengguna membuka halaman yang dikendalikan oleh penyerang, permintaan sumber daya dapat dimulai dari situs di mana pengguna memiliki akun aktif dari halaman ini. Dalam serangan MITM, Permintaan ke situs web ini dapat dialihkan ke server email yang berbagi sertifikat TLS.
Karena server email tidak keluar setelah kesalahan pertama, header dan perintah layanan akan diproses sebagai perintah yang tidak dikenal.
Server email tidak menguraikan detail protokol HTTP dan untuk ini header layanan dan blok data permintaan POST diproses dengan cara yang sama, oleh karena itu di badan permintaan POST Anda dapat menentukan baris dengan perintah ke server surat.
sumber: https://alpaca-attack.com/