Экспперты компании SafeBreach обнаружили влияющую на большинство ОС и браузеров уязвимость, которая позволяет злоумышленникам эксфильтрировать URL-адреса из HTTPS-трафика.
Угроза связана с файлами автоматической конфигурации прокси (PAC), определяющими, как браузер обрабатывает пртоколы HTTP, HTTPS и FTP. PAC-файлы используют функцию JavaScript под названием FindProxyForURL для определения, являются ли URL-адреса выбранными напрямую или через прокси-сервер.
Атакующий путем внедрения вредоносного алгоритма в функцию FindProxyForURL может прочитать URL-адреса, на которые заходил пользователь, включая HTTPS URL. Подобным атакам могут быть подвержены все популярные web-браузеры на системах Windows, Mac и Linux.
По мнению специалистов, подобные атаки могут осуществляться двумя способами. Часть вредоносного ПО, получившего доступ к целевой системе, может заставить инфицированнный компьютер использовать статический файл proxy.pac, контролируемый злоумышленником. Второй способ атаки включает протокол WPAD. Если устройство жертвы сконфигурировано на использование протокола, в ходе атаки «человек посередине» атакующий может похитить связанные с WPAD коммуникации и сделать так, чтобы вредоносный PAC-ресурс использовался браузером.
Как только злоумышленник настроит систему на использование вредоносного прокси-сервера, он получает возможность перехватывать все URL-адреса и эксфильтрировать их на подконтрольное им устройство.
Угроза связана с файлами автоматической конфигурации прокси (PAC), определяющими, как браузер обрабатывает пртоколы HTTP, HTTPS и FTP. PAC-файлы используют функцию JavaScript под названием FindProxyForURL для определения, являются ли URL-адреса выбранными напрямую или через прокси-сервер.
Атакующий путем внедрения вредоносного алгоритма в функцию FindProxyForURL может прочитать URL-адреса, на которые заходил пользователь, включая HTTPS URL. Подобным атакам могут быть подвержены все популярные web-браузеры на системах Windows, Mac и Linux.
По мнению специалистов, подобные атаки могут осуществляться двумя способами. Часть вредоносного ПО, получившего доступ к целевой системе, может заставить инфицированнный компьютер использовать статический файл proxy.pac, контролируемый злоумышленником. Второй способ атаки включает протокол WPAD. Если устройство жертвы сконфигурировано на использование протокола, в ходе атаки «человек посередине» атакующий может похитить связанные с WPAD коммуникации и сделать так, чтобы вредоносный PAC-ресурс использовался браузером.
Как только злоумышленник настроит систему на использование вредоносного прокси-сервера, он получает возможность перехватывать все URL-адреса и эксфильтрировать их на подконтрольное им устройство.
.png)