Berita tersebut baru-baru ini dikeluarkan oleh seorang sekumpulan penyelidik dari pelbagai universiti di Jerman, yangs telah mengembangkan kaedah serangan MITM baru terhadap HTTPS, yang memungkinkan untuk mengekstrak kuki dengan ID sesi dan data sensitif lain, serta melaksanakan kod JavaScript sewenang-wenang dalam konteks laman web lain.
Serangan itu disebut ALPACA dan boleh digunakan untuk pelayan TLS Mereka menerapkan protokol lapisan aplikasi yang berbeza (HTTPS, SFTP, SMTP, IMAP, POP3), tetapi menggunakan sijil TLS biasa.
Inti dari serangan adalah bahawa jika ada kawalan ke atas pintu masuk titik akses rangkaian atau tanpa wayar, penyerang boleh mengarahkan lalu lintas ke port rangkaian yang berbeza dan mengatur untuk mewujudkan sambungan bukan ke pelayan HTTP, tetapi ke pelayan FTP atau mel yang menyokong penyulitan TLS.
Sejak protokol TLS bersifat universal dan tidak terikat dengan protokol peringkat aplikasi, pembentukan sambungan yang dienkripsi untuk semua perkhidmatan adalah serupa dan kesalahan ketika mengirim permintaan ke layanan yang salah dapat dikesan hanya setelah pembentukan sesi yang dienkripsi selama pemrosesan. perintah permintaan yang dihantar.
Oleh itu, jika, sebagai contoh, ubah hala sambungan pengguna, awalnya diarahkan ke HTTPS, ke pelayan e-mel yang menggunakan sijil umum dengan pelayan HTTPS, sambungan TLS akan berjaya dibuat, tetapi pelayan e-mel tidak akan dapat memproses perintah HTTP yang dihantar dan akan mengembalikan respons dengan kod ralat . Respons ini akan diproses oleh penyemak imbas sebagai respons dari laman web yang diminta, dihantar dalam saluran komunikasi yang dienkripsi dengan betul.
Tiga pilihan serangan dicadangkan:
- «Muat naik» untuk mendapatkan semula Kuki dengan parameter pengesahan: Kaedah ini berlaku sekiranya pelayan FTP yang dilindungi oleh sijil TLS membolehkan anda memuat turun dan mengambil data anda. Dalam varian serangan ini, penyerang dapat mencapai pemeliharaan bahagian permintaan HTTP asal pengguna, seperti kandungan tajuk Cookie, misalnya, jika pelayan FTP menafsirkan permintaan sebagai file untuk menyimpan atau mendaftarkannya dengan penuh. permintaan masuk. Untuk serangan yang berjaya, penyerang perlu mengambil semula kandungan yang disimpan. Serangan ini berlaku untuk Proftpd, Microsoft IIS, vsftpd, filezilla, dan serv-u.
- Muat turun untuk skrip merentas laman web (XSS): Metode ini menyiratkan bahawa penyerang, sebagai akibat dari beberapa manipulasi bebas, dapat memasukkan data ke dalam layanan menggunakan sijil TLS umum, yang kemudian dapat dikeluarkan sebagai tanggapan atas permintaan dari pengguna. Serangan ini berlaku untuk pelayan FTP, pelayan IMAP dan pelayan POP3 yang disebutkan di atas (kurier, cyrus, kerio-connect dan zimbra).
- Refleksi untuk menjalankan JavaScript dalam konteks laman web lain: Metode ini didasarkan pada mengembalikan sebagian permintaan kepada klien, yang berisi kod JavaScript yang dikirim oleh penyerang. Serangan tersebut berlaku untuk pelayan FTP yang disebutkan di atas, pelayan IMP cyrus, kerio-connect dan zimbra, serta pelayan SMTP sendmail.
Contohnya apabila pengguna membuka halaman yang dikendalikan oleh penyerang, permintaan untuk sumber dapat dimulakan dari laman web di mana pengguna mempunyai akaun aktif dari halaman ini. Dalam serangan MITM, Permintaan ini ke laman web boleh dialihkan ke pelayan e-mel yang berkongsi sijil TLS.
Oleh kerana pelayan mel tidak log keluar selepas ralat pertama, tajuk dan arahan perkhidmatan akan diproses sebagai perintah yang tidak diketahui.
Pelayan e-mel tidak menghuraikan perincian protokol HTTP dan untuk ini tajuk perkhidmatan dan blok data permintaan POST diproses dengan cara yang sama, oleh itu dalam badan permintaan POST anda dapat menentukan garis dengan perintah untuk pelayan mel.
Fuente: https://alpaca-attack.com/