WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗi FalseCONNECT để lộ kết nối proxy
Sản phẩm của Apple, Microsoft, Oracle và khả năng nhiều công ty lớn khác bị ảnh hưởng bởi lỗ hổng tiết lộ kết nối được thực hiện qua máy chủ proxy, đặt người dùng trước nguy cơ bị tấn công man-in-the-middle.
Lỗ hổng an ninh, do nhà nghiên cứu Jerry Decime phát hiện và đặt tên "FalseCONNECT", là do các vấn đề trong việc xác thực proxy, có thể dẫn đến phá hoại hoàn toàn độ tin cậy của HTTPS.
Khi máy khách và máy chủ liên lạc qua kênh mã hóa, hai máy sẽ “bắt tay” thiết lập khóa mã hóa chia sẻ. Nếu kết nối đi qua một máy chủ proxy, proxy không được biết khóa mã hóa để đảm bảo an ninh đầu cuối end-to-end. Điều này đạt được bằng cách sử dụng một truy vấn HTTP CONNECT, hướng dẫn proxy thiết lập kết nối đến máy chủ và đảm bảo proxy chỉ đóng vai trò như một relay dữ liệu.
Vì các truy vấn HTTP CONNECT được thực hiện trước khi “bắt tay” tạo HTTPS, dữ liệu được gửi dưới dạng bản rõ qua HTTP. Điều này cho phép kẻ tấn công MitM thay thế phản hồi "200 OK CONNECT" từ proxy bằng thông báo "407 Proxy Authentication Required” và lấy cắp thông tin nhạy cảm của nạn nhân.
Trong trường hợp các máy khách sử dụng trình duyệt WebKit, kẻ tấn công cũng có thể sử dụng phản hồi "407 Proxy Authentication Required" để thực thi HTML tùy ý và mã JavaScript trong ngữ cảnh của trang web HTTPS mục tiêu. Kẻ xấu có thể lợi dụng phương pháp này để đánh cắp thông tin xác thực và cookie phiên làm việc của người dùng và cuộc tấn công có khả năng không gây ra bất kỳ nghi ngờ nào vì thanh địa chỉ của trình duyệt vẫn hiển thị biểu tượng ổ khóa và chuỗi "https://".
Bất cứ ai dựa vào proxy có thể bị ảnh hưởng bởi lỗ hổng FalseCONNECT và một số người dùng thậm chí có thể không biết mình đang đứng trước nguy cơ bị tấn công nếu file cấu hình tự động proxy (PAC) được cài trên hệ thống. Nhà nghiên cứu cũng chỉ ra rằng ngay cả các proxy không yêu cầu xác thực cũng bị ảnh hưởng.
“Cuối cùng, khai thác từ phía máy khách tồn tại lỗ hổng có thể khó xác định đối với người dùng di chuyển giữa các mạng. Một tổ chức sử dụng IDS hoặc IPS có thể thấy phản hồi HTTP 407 độc hại cho một truy vấn CONNECT trên mạng lưới của mình để phát hiện cuộc tấn công nhưng điều này không có tác dụng nếu người dùng bị ảnh hưởng không ở trên mạng đang được theo dõi. Với các tổ chức đã đặt IDS hoặc IPS trên các nút thoát, họ có thể không thấy được việc khai thác người dùng trên mạng con nội bộ”, nhà nghiên cứu cho biết.
Lỗ hổng FalseCONNECT có thể ảnh hưởng đến hệ điều hành, trình duyệt và các ứng dụng khác được cấu hình để sử dụng proxy. Theo CERT/CC, Apple, Microsoft, Opera và Oracle đã xác nhận sản phẩm của mình bị ảnh hưởng.
Apple vá lỗ hổng (CVE-2016-4644) trong iOS 9.3.3, OS X 10.11.6 và tvOS 9.2.2 tháng trước. Theo CERT/CC, danh sách các nhà cung cấp có khả năng bị ảnh hưởng gồm nhiều công ty khác.
Cho đến khi tất cả các nhà cung cấp bị ảnh hưởng khắc phục vấn đề, người dùng nên tránh sử dụng máy khách cấu hình proxy khi kết nối đến mạng không tin cậy, và vô hiệu hóa PAC và tự động phát hiện web proxy (WPAD) nếu không cần thiết.
Theo SecurityWeek
Lỗ hổng an ninh, do nhà nghiên cứu Jerry Decime phát hiện và đặt tên "FalseCONNECT", là do các vấn đề trong việc xác thực proxy, có thể dẫn đến phá hoại hoàn toàn độ tin cậy của HTTPS.
Khi máy khách và máy chủ liên lạc qua kênh mã hóa, hai máy sẽ “bắt tay” thiết lập khóa mã hóa chia sẻ. Nếu kết nối đi qua một máy chủ proxy, proxy không được biết khóa mã hóa để đảm bảo an ninh đầu cuối end-to-end. Điều này đạt được bằng cách sử dụng một truy vấn HTTP CONNECT, hướng dẫn proxy thiết lập kết nối đến máy chủ và đảm bảo proxy chỉ đóng vai trò như một relay dữ liệu.
Vì các truy vấn HTTP CONNECT được thực hiện trước khi “bắt tay” tạo HTTPS, dữ liệu được gửi dưới dạng bản rõ qua HTTP. Điều này cho phép kẻ tấn công MitM thay thế phản hồi "200 OK CONNECT" từ proxy bằng thông báo "407 Proxy Authentication Required” và lấy cắp thông tin nhạy cảm của nạn nhân.
Trong trường hợp các máy khách sử dụng trình duyệt WebKit, kẻ tấn công cũng có thể sử dụng phản hồi "407 Proxy Authentication Required" để thực thi HTML tùy ý và mã JavaScript trong ngữ cảnh của trang web HTTPS mục tiêu. Kẻ xấu có thể lợi dụng phương pháp này để đánh cắp thông tin xác thực và cookie phiên làm việc của người dùng và cuộc tấn công có khả năng không gây ra bất kỳ nghi ngờ nào vì thanh địa chỉ của trình duyệt vẫn hiển thị biểu tượng ổ khóa và chuỗi "https://".
Bất cứ ai dựa vào proxy có thể bị ảnh hưởng bởi lỗ hổng FalseCONNECT và một số người dùng thậm chí có thể không biết mình đang đứng trước nguy cơ bị tấn công nếu file cấu hình tự động proxy (PAC) được cài trên hệ thống. Nhà nghiên cứu cũng chỉ ra rằng ngay cả các proxy không yêu cầu xác thực cũng bị ảnh hưởng.
“Cuối cùng, khai thác từ phía máy khách tồn tại lỗ hổng có thể khó xác định đối với người dùng di chuyển giữa các mạng. Một tổ chức sử dụng IDS hoặc IPS có thể thấy phản hồi HTTP 407 độc hại cho một truy vấn CONNECT trên mạng lưới của mình để phát hiện cuộc tấn công nhưng điều này không có tác dụng nếu người dùng bị ảnh hưởng không ở trên mạng đang được theo dõi. Với các tổ chức đã đặt IDS hoặc IPS trên các nút thoát, họ có thể không thấy được việc khai thác người dùng trên mạng con nội bộ”, nhà nghiên cứu cho biết.
Lỗ hổng FalseCONNECT có thể ảnh hưởng đến hệ điều hành, trình duyệt và các ứng dụng khác được cấu hình để sử dụng proxy. Theo CERT/CC, Apple, Microsoft, Opera và Oracle đã xác nhận sản phẩm của mình bị ảnh hưởng.
Apple vá lỗ hổng (CVE-2016-4644) trong iOS 9.3.3, OS X 10.11.6 và tvOS 9.2.2 tháng trước. Theo CERT/CC, danh sách các nhà cung cấp có khả năng bị ảnh hưởng gồm nhiều công ty khác.
Cho đến khi tất cả các nhà cung cấp bị ảnh hưởng khắc phục vấn đề, người dùng nên tránh sử dụng máy khách cấu hình proxy khi kết nối đến mạng không tin cậy, và vô hiệu hóa PAC và tự động phát hiện web proxy (WPAD) nếu không cần thiết.
Theo SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: