Bilgisayar korsanları, keyfi siteler arası komut dosyası saldırıları başlatmak için HTTP/2 Kusurdan İstismar


Tsinghua Üniversitesi ve Zhongguancun Laboratuvarı’ndan çığır açan bir çalışma, modern web altyapısında kritik güvenlik açıklarını ortaya çıkardı ve HTTP/2 sunucu baskısı ve imzalı HTTP değişim (SXG) özelliklerini, aynı orijin politikasını (SOP)-web güvenliğinin bir köşe aşamasını atlamak için kullanılabileceğini ortaya koydu.

SOP, bir web sitesindeki kötü amaçlı komut dosyalarının diğerinde hassas verilere erişmesini önlemek için tasarlanmıştır, ancak araştırmacılar, tarayıcıların “orijin” ve “otoriteye” karşı nasıl yorumladığı konusundaki son değişikliklerin tehlikeli boşluklar yarattığını bulmuşlardır.

Geleneksel olarak, tarayıcılar bir “köken” i URI şeması, ana bilgisayar ve bağlantı noktasının benzersiz bir çubuğu olarak tanımlar. Bununla birlikte, HTTP/2 ve HTTP/3 protokolleri, bir TLS sertifikasının Subjectalternativename (SAN) alanında listelenen herhangi bir alanın “otorite” olarak tanınmasına izin verir.

– Reklamcılık –
Google Haberleri

Bu, bir sertifika, genellikle farklı varlıklar tarafından yönetilen birden çok alan arasında paylaşılırsa, bu alanların herhangi birinin HTTP/2 sunucu push veya SXG kullanılırken tarayıcı tarafından aynı makam olarak ele alınabileceği anlamına gelir.

Saldırganlar, paylaşılan bir sertifika alarak veya kaçırarak ve daha sonra farklı bir alandan kaynaklansa bile tarayıcının meşru olarak kabul edeceği kötü niyetli kaynakları zorlayarak kullanabilirler.

Crosspush ve Crosssxg

Araştırma iki güçlü yeni saldırı tekniği sunuyor:

  • Çaprazlama: HTTP/2 Sunucu Push’tan yararlanarak, bir sertifikayı kurban sitesiyle paylaşan bir alan adını kontrol eden bir saldırgan, kaynakları (JavaScript dosyaları gibi) tarayıcıya itebilir ve kurbanın etki alanını belirleyebilir. :authority sözde başlık.
  • Paylaşılan sertifikaya güvenen tarayıcı, önbellekler ve daha sonra bu kaynakları mağdur sitesinin güvenlik bağlamında yürütür. Bu, siteler arası komut dosyası (XSS), çerez manipülasyonu ve kötü amaçlı dosya indirmeleri gibi saldırıları sağlar. javascript// Example: Using Node.js HTTP/2 to set :authority stream.pushStream({ ':path': '/script.js', ':authority': 'victim.com' }, (err, pushStream) => { pushStream.respond({ ':status': 200, 'content-type': 'application/javascript' }); pushStream.end('alert(document.cookie);'); });
  • Crossssxg: SXG kullanarak, bir saldırgan web içeriğini, paylaşılan sertifikanın SAN listesindeki herhangi bir alandan kaynaklanmış gibi imzalayabilir. request-url Ve validity-url başlıklar.
  • Tarayıcı, paylaşılan sertifikayı kullanarak SXG’yi doğrular ve ardından saldırganın içeriğini kurban sitesindenmiş gibi görüntüler.
  • Bu saldırı daha da güçlü çünkü önbellekler ve üçüncü taraf distribütörler arasında çalışıyor. metinSXG Headers: request-url: https://victim.com/ validity-url: https://victim.com/validity cert-url: https://attacker.com/cert.cbor

Her iki saldırı da “yol dışı” dır, yani saldırganın ağ trafiğini kesmesi gerekmez; Kullanıcıları yalnızca sitelerine çekmeleri gerekir (örneğin, kimlik avı veya kötü niyetli iframes yoluyla), tehdidi son derece ölçeklenebilir ve pratik hale getirir.

Yaygın güvenlik açıkları ve sömürü

Çalışmanın büyük ölçekli ölçümleri, bu güvenlik açıklarının teorik olmadığını ortaya koymaktadır-Web ekosisteminin önemli bir bölümünü etkiler:

  • Tarayıcı maruziyeti: Chrome ve Edge dahil 14 büyük tarayıcıdan 11’i saldırılardan en az birine karşı savunmasızdır.
  • Birçok popüler mobil uygulama (Instagram ve WeChat gibi) ve tarayıcı kitaplıkları da, özellikle WebView’in varsayılan tarayıcının davranışını devraldığı platformlarda etkilenir.
  • Web sitesi maruziyeti: Tipik saldırı penceresinde 11.000’den fazla üst sırada yer alan alan yeniden kullanıldı ve sertifika verilmesi için yaklaşık 5.000 “sarkan” alan (yanlış yapılandırılmış DN’lerle) kaçırılabilir.
  • Endişe verici bir şekilde, en iyi 1000 web sitesinin% 83’ü, saldırı yüzeyini önemli ölçüde genişleten daha düşük rütbeli, potansiyel olarak daha az güvenli alanlara sahip paylaşılan sertifikalara dahil edilmiştir.
  • Saldırı Uzun ömür: Etki alanı doğrulama yeniden kullanımı ve sertifika yenileme politikaları nedeniyle, saldırganlar, mağdurların uzlaşmış sertifikaları iptal etmeye çalıştıktan sonra bile 796 güne kadar kontrolü sürdürebilirler.
  • Etki alanı kaydında Ekle Rears Dönemi (AGP) gibi özellikler, asgari maliyetle sertifika almak için istismar edilebilir ve saldırgan sertifikanın SAN listesindeki herhangi bir alanını korursa mevcut iptal mekanizmaları genellikle başarısız olabilir.

Azaltma ve endüstri tepkisi

Araştırmacılar birkaç acil hafifletme öneriyor:

  • Tarayıcılar, otoritenin bağlantı kaynağıyla eşleşmediği yerde sunucu itme ve SXG’leri reddederek otorite kontrollerini kesinlikle zorlamalıdır.
  • Sertifika Yetkilileri (CAS), etki alanı sahiplerinin alan adlarını paylaşılan sertifikalardan kaldırma ve doğrulama prosedürlerini iyileştirme yeteneğini kolaylaştırmalıdır.
  • Etki alanı kayıt şirketleri ve alıcılar, etki alanı transferleri sırasında şüpheli sertifika paylaşımını algılamak için sertifika şeffaflık günlüklerini izlemelidir.

Ekip, bu bulguları Microsoft, Google, Huawei ve Baidu da dahil olmak üzere büyük satıcılara sorumlu bir şekilde açıkladı ve onay ve ilk azaltma çabalarını istedi.

Bu araştırma, modern Web protokollerinin ve sertifika yönetiminin kesişiminde sistemik bir kusur ortaya çıkarır, bu da sert güvenlik uygulamalarına sahip sitelerin bile daha az güvenli alanlara sahip sertifikaları paylaşmaları durumunda tehlikeye girebileceğini gösterir.

Endüstrinin, yaygın bir sömürü gerçekleşmeden önce bu boşlukları kapatması için hızlı bir şekilde hareket etmesi isteniyor.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link