ЛАС-ВЕГАС. Исследователи обнаружили ряд уязвимостей в протоколе автоматической настройки прокси (Web Proxy AutoDiscovery, WPAD), связанном с протоколом DHCP и DNS-серверами, которые позволяют хакерам не только видеть защищенные при помощи HTTPS URL-ссылки, но и проводить огромное число разнообразных атак на компьютеры под управлением ОС Linux, Windows и Mac.

По словам исследователей из SafeBreach, уязвимость позволяет атакующим видеть URL каждого запроса, производимого браузером. Эксперты отметили, что, располагая подобной информацией, хакер может увидеть все URL-адреса всех посещенных сайтов, причем даже в тех случаях, если использовалось защищенное HTTPS-соединение.

Сегодня на конференции Black Hat USA в рамках презентации под названием «Противодействие протоколу HTTPS посредством использования вредоносного PAC-файла» («Crippling HTTPS with Unholy PAC») исследователи впервые открыто рассказали о подробностях нового типа атаки.

Техника, названная атакой с применением утечки HTTPS URL-ссылки (HTTPS URL leakage attack), позволяет хакеру перехватывать тайные и одноразовые URL-адреса, содержащие токены безопасности, используемые для доступа к таким сервисам, как Dropbox. Атакующий также может заполучить URL-ссылку, содержащую запрос на сброс пароля для конкретной учетной записи, получив таким образом полный доступ к учетной записи и данным жертвы.

По словам вице-президента по исследованиям безопасности Амита Кляйна (Amit Klein), данную технику также можно использовать для проведения фишинговых атак на браузер путем генерации предупреждений за счет посещения специфичных URL-адресов. Осуществима и DoS-атака путем перенаправления трафика на особый IP-адрес.

Уязвимость кроется в механизме, который браузеры используют для взаимодействия с PAC-ресурсами при обработке HTTP- и HTTPS-запросов. PAC-файлы содержат JavaScript-код, в котором указано, какой именно прокси-сервер должен быть использован браузером при обработке данной URL-ссылки. Внедрив в браузер вредоносный PAC-файл, злоумышленник получит возможность видеть URL-адреса всех запросов, производимых браузером.

В интервью Threatpost Кляйн заявил, что наиболее вероятными целями данной атаки станут незащищенные беспроводные сети, причем атакующие, скорее всего, воспользуются ложными DHCP- или DNS-серверами. Помимо прочего заражение компьютера вредоносным PAC не имеет каких-либо визуальных идентификаторов. Адресная строка по-прежнему будет показывать, что установлено HTTPS-соединение.

«В случае если ваш компьютер использует протоколы WPAD и DHCP, злоумышленник может оперативно среагировать на запрос браузера на получение PAC-файла и прислать вам поддельный ответ от DHCP-сервера, содержащий URL-ссылку на сервер атакующего, с которого будет скачан вредоносный PAC-файл», — разъясняет Кляйн.

По заявлениям экспертов из SafeBreach, проблема кроется в механизме, при помощи которого протокол WPAD осуществляет передачу PAC-файла.

Как считает Кляйн, основой уязвимости является тот факт, что JavaScript-код, обладающий низким показателем доверия, может быть загружен вместе с PAC-файлом и исполнен в контексте HTTPS-трафика, обладающего высоким показателем доверия. При этом не используются какие-либо механизмы защиты, сертификаты или цифровые подписи.

«Мы считаем, что в протокол WPAD и спецификации стандарта PAC необходимо внести ряд изменений, с тем чтобы сократить поверхность атаки и объем информации, которая потенциально может быть раскрыта», — заявляет эксперт.

Это уже не первый случай, когда PAC-файлы применяются злоумышленниками. В апреле исследователи из Fortinet обнаружили и описали троянца BlackMoon, который при помощи фишинговых атак с применением вредоносного PAC-файла пытался похитить персональные данные более чем 100 тыс. жителей Южной Кореи. Различия этих двух случаев в том, что BlackMoon полагался лишь на использование вредоносного PAC-файла, в то время как для атаки, описанной специалистами из SafeBreach, используются уязвимости в самом протоколе WPAD.

Некоторые разработчики браузеров, в частности Apple и Google, пытались решить эту проблему путем обрезания используемых URL-адресов; таким образом увидеть весь URL целиком становится невозможно. В прошлом месяце Google выплатила багхантеру по имени Пол Стоун (Paul Stone) $500 за то, что он обнаружил уязвимость в браузере Chrome, связанную с утечкой URL через PAC-скрипт.

Категории: Уязвимости