Эксперты продемонстрировали способ эксфильтрации URL из HTTPS-трафика

ИБ-исследователи из компании SafeBreach обнаружили влияющую на большинство ОС и браузеров уязвимость, с помощью которой злоумышленники могут эксфильтрировать URL-адреса из HTTPS-трафика. Угроза связана с файлами автоматической конфигурации прокси (PAC), определяющими, как браузер обрабатывает пртоколы HTTP, HTTPS и FTP. PAC-файлы используют функцию JavaScript под названием FindProxyForURL для определения, являются ли URL-адреса выбранными напрямую или через прокси-сервер.

Исследователи SafeBreach обнаружили, что путем внедрения вредоносного алгоритма в функцию FindProxyForURL, атакующий может прочитать URL-адреса, на которые заходил пользователь, включая HTTPS URL. Подобным атакам могут быть подвержены все популярные web-браузеры на системах Windows, Mac и Linux.

По словам экспертов, злоумышленник может осуществить атаку двумя способами. Часть вредоносного ПО, получившего доступ к целевой системе, может заставить инфицированнный компьютер использовать статический файл proxy.pac, контролируемый злоумышленником. Второй способ атаки включает протокол WPAD. Если устройство жертвы сконфигурировано на использование протокола, в ходе атаки «человек посередине» атакующий может похитить связанные с WPAD коммуникации и сделать так, чтобы вредоносный PAC-ресурс использовался браузером.

По данным исследователей, как только злоумышленник настроит систему на использование вредоносного прокси-сервера, он получает возможность перехватывать все URL-адреса и эксфильтрировать их на подконтрольное им устройство.