HEIST дозволяє отримати зашифровану інформацію HTTPS каналі у вигляді відкритого тексту



Розширення протоколу HTTPS, яке захищає мільйони сайтів і сотні мільйонів користувачів, вразливе до нового типу атаки. Експлоїт, що дозволяє отримати зашифровані адреси електронної пошти, номери страхування і інші особисті дані користувачів. Причому зловмиснику немає необхідності вести спостереження або контролювати інтернет-з'єднання жертви.

Іншими словами, експлоїт не вимагає використання MITM (man-in-the-middle) схеми. Замість цього жертву атакують за допомогою невинного JavaScript файлу, прихованого в рекламі або «вшитого» прямо в сторінку шкідливого сайту. Шкідливий код після успішного виконання може запитувати ряд типів сторінок, захищених SSL або TSL протоколом і отримувати точний розмір файлів з зашифрованими даними, які передаються в захищеному режимі. Новий тип атаки отримав назву HEIST (HTTP Encrypted Information can be Stolen Through TCP-Windows).

Працює ця атака завдяки тому, що скрипт вивчає тип відповіді фреймворку, який надається клієнту (зазвичай це браузер), від якого прийшов HTTP-запит. Як тільки зловмисник отримує інформацію про точний розмір зашифрованих даних, він може використовувати кілька раніше відомих експлойтів для отримання тестової інформації, прихованої всередині зашифрованого файлу.

Якщо точніше, то тут використовуються експлоїти BREACH (Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext) і CRIME. BREACH дозволяє отримати тестову інформацію з захищеного файлу всього за 30 секунд. CRIME не відстає від свого побратима. CRIME дозволяє за допомогою декількох запитів побайтово підбирати вміст cookies, спостерігаючи за значеннями, які видає zlib. Експлоїт розшифровує значення cookies по 4-6 запитів на кожен байт base64.

Технологія HEIST була показана і пояснена на конференції Black Hat. За словами фахівців з інформаційної безпеки, HEIST дозволяє проводити атаки швидше і ефективніше, ніж раніше. Тим більше, що тепер не потрібна схема MITM. Зловмисники отримують потрібну інформацію практично відразу після того, як жертва відвідує заражений сайт або сайт з зараженої рекламою.

До теперішнього моменту зловмисникові необхідно було активно управляти трафіком, що йде від сервера до користувача. HEIST дозволяє прибрати це обмеження. Експлоїт використовує TCP характеристики як квазі-криптографічний вторинний канал для оцінки розміру HTTPS відповіді. TCP поділяє великі передачі на менші фрагменти певного розміру, які називаються фреймами. Надалі фрейми групуються всередині «TCP-вікна», що відправляються по одному за одиницю часу. TCP надсилає нове вікно тільки після отримання підтвердження отримання попередньої групи фреймів.

HEIST може прораховувати кількість фреймів і вікон, шляхом взаємодії з набором нещодавно схвалених API. Це Resource Timing та Fetch. У результаті виходить визначити точний розмір HTTPS відповіді. А далі, як уже говорилося вище, у справу вступають BREACH і CRIME. На виході зловмисник отримує раніше закриту інформацію. Фахівці вже представили результати своєї роботи Google і Microsoft. Так що представлений на Black Hat метод не став сюрпризом для цих компаній. Зловмиснику досить дізнатися CSRF токен жертви, після чого аккаунт користувача на певному сайті можна скомпрометувати.

За словами авторів роботи, представленої на Black Hat, користувач може знизити ймовірність успішного здійснення HEIST атаки, заборонивши в настройках браузера сторонні куки. З іншого боку, ряд сервісів просто не буде працювати без сторонніх куки.



При демонстрації атаки вдалося виміряти розмір зашифрованих відповідей для New York Times, використовуючи сайт targetwebsite.com.

HEIST також ефективний проти HTTP/2, оновленого стандарту HTTP. У деяких ситуаціях особливості HTTP/2 навіть збільшують ефективність роботи HEIST. Зокрема, якщо використовується HTTP/2, експлоіт може одночасно опитувати кілька джерел.

Зараз, на думку авторів роботи, комбінована атака з використанням BREACH і HEIST є одним з найбільш простих методів компрометації користувальницьких акаунтів різних ресурсів.

Інші наші публікації:
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.