Haber geçtiğimiz günlerde bir Almanya'daki çeşitli üniversitelerden bir grup araştırmacı, olanlars, HTTPS'ye karşı yeni bir MITM saldırı yöntemi geliştirdi, bu, oturum kimlikleri ve diğer hassas verilerle çerezlerin çıkarılmasına ve ayrıca başka bir site bağlamında isteğe bağlı JavaScript kodu yürütülmesine olanak tanır.
Saldırı denir ALPACA ve TLS sunucularına uygulanabilir Farklı uygulama katmanı protokollerini (HTTPS, SFTP, SMTP, IMAP, POP3) uygularlar, ancak ortak TLS sertifikalarını kullanırlar.
Saldırının özü, bir ağ geçidi üzerinde kontrol varsa ağ veya kablosuz erişim noktası, bir saldırgan trafiği farklı bir ağ bağlantı noktasına yönlendirebilir ve bir HTTP sunucusuyla değil, TLS şifrelemesini destekleyen bir FTP veya posta sunucusuyla bağlantı kuracak şekilde düzenleyin.
protokolden beri TLS evrenseldir ve uygulama düzeyindeki protokollere bağlı değildir, tüm hizmetler için şifreli bir bağlantı kurulması aynıdır ve yanlış hizmete bir istek gönderirken bir hata ancak işleme sırasında şifreli bir oturumun kurulmasından sonra tespit edilebilir. gönderilen isteğin komutlarından.
Bu duruma göre, örneğin, bir kullanıcının bağlantısını yönlendirmek, başlangıçta HTTPS'ye, HTTPS sunucusuyla ortak bir sertifika kullanan bir posta sunucusuna yönlendirilirse, TLS bağlantısı başarıyla kurulur, ancak posta sunucusu iletilen HTTP komutlarını işleyemez ve bir hata koduyla bir yanıt döndürür. . Bu yanıt, tarayıcı tarafından, uygun şekilde kurulmuş şifreli bir iletişim kanalı içinde iletilen, istenen siteden bir yanıt olarak işlenecektir.
Üç saldırı seçeneği önerilmiştir:
- Kimlik doğrulama parametreleriyle Çerez almak için «Yükle»: Bu yöntem, TLS sertifikasının kapsadığı FTP sunucusu verilerinizi indirmenize ve almanıza izin veriyorsa geçerlidir. Saldırının bu çeşidinde, bir saldırgan, örneğin, FTP sunucusu talebi kaydetmek için bir dosya olarak yorumlarsa veya aşağıdaki şekilde kaydederse, Cookie başlığının içeriği gibi, kullanıcının orijinal HTTP isteğinin bölümlerinin korunmasını sağlayabilir. tam. gelen istekler. Başarılı bir saldırı için, bir saldırganın depolanan içeriği bir şekilde alması gerekir. Saldırı Proftpd, Microsoft IIS, vsftpd, filezilla ve serv-u için geçerlidir.
- Siteler arası komut dosyası çalıştırma (XSS) için indirme: Yöntem, bir saldırganın, bazı bağımsız manipülasyonların bir sonucu olarak, daha sonra kullanıcıdan gelen bir isteğe yanıt olarak verilebilecek ortak bir TLS sertifikası kullanarak bir hizmete veri koyabileceğini ima eder. Saldırı, yukarıda belirtilen FTP sunucuları, IMAP sunucuları ve POP3 sunucuları (courier, cyrus, kerio-connect ve zimbra) için geçerlidir.
- JavaScript'i başka bir site bağlamında çalıştırma düşüncesi: Yöntem, saldırgan tarafından gönderilen JavaScript kodunu içeren isteğin bir kısmını istemciye döndürmeye dayanır. Saldırı, yukarıda belirtilen FTP sunucuları, cyrus, kerio-connect ve zimbra IMAP sunucularının yanı sıra sendmail SMTP sunucusuna uygulanabilir.
Örnek bir kullanıcı, bir saldırgan tarafından kontrol edilen bir sayfayı açtığında, bir kaynak talebi başlatılabilir. kullanıcının bu sayfadan aktif bir hesabı olduğu bir siteden. Bir MITM saldırısında, Web sitesine yapılan bu istek, TLS sertifikasını paylaşan bir posta sunucusuna yönlendirilebilir.
Posta sunucusu ilk hatadan sonra oturumu kapatmadığı için servis üstbilgileri ve komutları bilinmeyen komutlar olarak işlenecektir.
Posta sunucusu HTTP protokolünün ayrıntılarını ayrıştırmaz ve bunun için POST isteğinin hizmet başlıkları ve veri bloğu aynı şekilde işlenir, bu nedenle POST isteğinin gövdesinde şu komutu içeren bir satır belirtebilirsiniz: posta sunucusu.
kaynak: https://alpaca-attack.com/