ALPACA, un nuevo tipo de ataque Man in the middle en HTTPS
Hace poco se dio a conocer la noticia por parte de un grupo de investigadores de varias universidades de Alemania, los cuales ha desarrollado un nuevo método de ataque MITM contra HTTPS, que permite extraer cookies con ID de sesión y otros datos sensibles, asà como ejecutar código JavaScript arbitrario en el contexto de otro sitio.
El ataque se llama ALPACA y se puede aplicar a servidores TLS que implementan diferentes protocolos de capa de aplicación (HTTPS, SFTP, SMTP, IMAP, POP3), pero usan certificados TLS comunes.
La esencia del ataque es que si hay control sobre una puerta de enlace de red o un punto de acceso inalámbrico, un atacante puede redirigir el tráfico a un puerto de red diferente y hacer arreglos para establecer una conexión no con un servidor HTTP, sino con un servidor FTP o de correo que admite el cifrado TLS.
Dado que el protocolo TLS es universal y no está vinculado a los protocolos de nivel de aplicación, el establecimiento de una conexión encriptada para todos los servicios es idéntico y un error al enviar una solicitud al servicio incorrecto se puede detectar solo después del establecimiento de una sesión encriptada durante el procesamiento. de los comandos de la solicitud enviada.
En consecuencia, si, por ejemplo, redirige la conexión de un usuario, inicialmente dirigida a HTTPS, a un servidor de correo que utiliza un certificado común con el servidor HTTPS, la conexión TLS se establecerá correctamente, pero el servidor de correo no podrá procesar los comandos HTTP transmitidos y devolverá una respuesta con un código de error. Esta respuesta será procesada por el navegador como una respuesta del sitio solicitado, transmitida dentro de un canal de comunicación cifrado correctamente establecido.
Se proponen tres opciones de ataque:
- «Upload» para recuperar la Cookie con parámetros de autenticación: El método es aplicable si el servidor FTP cubierto por el certificado TLS le permite descargar y recuperar sus datos. En esta variante del ataque, un atacante puede lograr la preservación de partes de la solicitud HTTP original del usuario, como el contenido del encabezado de la Cookie, por ejemplo, si el servidor FTP interpreta la solicitud como un archivo a guardar o lo registra por completo. solicitudes entrantes. Para un ataque exitoso, un atacante necesita recuperar de alguna manera el contenido almacenado. El ataque es aplicable a Proftpd, Microsoft IIS, vsftpd, filezilla y serv-u.
- «Download» para secuencias de comandos entre sitios (XSS): El método implica que un atacante, como resultado de algunas manipulaciones independientes, puede colocar datos en un servicio utilizando un certificado TLS común, que luego se puede emitir en respuesta a una solicitud del usuario. El ataque es aplicable a los servidores FTP, servidores IMAP y servidores POP3 antes mencionados (courier, cyrus, kerio-connect y zimbra).
- Reflection para ejecutar JavaScript en el contexto de otro sitio: El método se basa en devolver una parte de la solicitud al cliente, que contiene el código JavaScript enviado por el atacante. El ataque es aplicable a los servidores FTP antes mencionados, los servidores IMAP cyrus, kerio-connect y zimbra, asà como al servidor SMTP sendmail.
Por ejemplo, cuando un usuario abre una página controlada por un atacante, se puede iniciar una solicitud de un recurso desde un sitio en el que el usuario tiene una cuenta activa desde esta página. En un ataque MITM, esta solicitud al sitio web se puede redirigir a un servidor de correo que comparte un certificado TLS.
Dado que el servidor de correo no finaliza la sesión después del primer error, los encabezados de servicio y los comandos se procesarán como comandos desconocidos.
El servidor de correo no analiza los detalles del protocolo HTTP y para ello los encabezados de servicio y el bloque de datos de la solicitud POST se procesan de la misma manera, por lo tanto, en el cuerpo de la solicitud POST, puede especificar una lÃnea con el comando al servidor de correo.
Fuente: https://alpaca-attack.com/