Transparente Proxies ebnen Angreifern den Weg ins lokale Netz
In Kombination mit Browser-Plug-ins wie Flash und Java lassen sich transparente Proxies von externen missbrauchen, um auf interne Webseiten zuzugreifen.
- Daniel Bachfeld
Transparente Proxies in Unternehmensnetzwerken können unter Umständen Angreifern den Zugriff auf nicht-öffentliche Webseiten ebnen. Ursache ist die Auswertung der Host-Angabe im HTTP-Header, die von der Angabe des Hosts in der Browser-Adress-Zeile abweichen kann. Zwar stimmen bei normalen Browseranfragen die beiden Angaben überein, nicht jedoch zwangsläufig bei Verbindungsanfragen etwa des Flash Player oder anderer Browser-Plug-ins, die eigene Netzwerksockets bei TCP-Verbindungen initiieren können.
Damit lässt sich laut US-CERT offenbar der Zugriffsschutz beziehungsweise die Same Origin Policy einiger Browser-Plug-ins teilweise aushebeln, die eigentlich verhindern soll, dass der Zugriff auf andere Seiten außerhalb der eigenen Herkunftsseite möglich ist.
Ein simpler Test demonstriert das Problem: Öffnen sie eine Shell oder die Eingabeaufforderung und geben folgendes ein:
telnet www.heise.de 80<Enter>
GET / HTTP/1.0<Enter>
Host:www.google.com<Enter>
<Enter>
Wenn nun eine Ausgabe von Google erscheint, ist der transparente Proxy anfällig.
Wofür können Angreifer dies ausnutzen? Lockt der Angreifer ein Opfer auf seine Seite (etwa evil.com) und überträgt in den Flash Player des Browsers ein präpariertes ActionScript, so kann er anschließend eigene Verbindungen aufbauen, in denen der Hosts-Eintrag manipuliert ist. Damit kann er Kontakt mit allen Seiten aufnehmen, mit denen das Opfer ebenfalls (über den transparenten Proxy) eine Verbindung aufbauen kann. Die Flash-Applikation kann diese Antwort lesen und an die Seite evil.com senden, da es für sie so aussieht, als stamme sie von evil.com.
An welche Informationen ein Angreifer damit gelangen könnte, hängt von der jeweiligen Infrastruktur ab. Ein verwundbarer Proxy ließe sich aber auch als Relay missbrauchen. Nach Angaben des US-CERT sind nur Proxies im transparenten Modus betroffen, Proxies im Reverse Mode sind nicht verwundbar. Darüber hinaus soll die Same Origin Policy des Browsers aber immerhin verhindern können, dass der Angreifer auf Webseiten zugreifen kann, die eine Authentifizierung erfordern und für die bereits ein Authentifizierungs-Cookies abgelegt ist.
Betroffen sind Proxy-Produkte wie der populäre Squid oder SmoothWall. Bei vielen weiteren Produkten ist der Status bislang noch unklar. Anwender können sich jedoch recht einfach schützen: Da nur Browser-Plug-ins wie Flash, Silverlight und Java eigene Netzwerkverbindungen aufbauen können, lässt sich das Problem durch Abschalten der Plug-ins oder deren restriktiver Einsatz lösen. Für letzteres können etwa Firefox-Anwender das Plug-in NoScript verwenden.
Netzwerkadministratoren haben da schon schlechtere Karten. Das US-CERT empfiehlt unter anderem, die Verbindung von transparenten Proxies zu internen Webservern oder Ressourcen per Firewall zu blockieren oder zumindest auf die erwarteten Portbereiche einzuschränken.
Weitere Informationen und Empfehlungen sind in die Originalberichten des US-CERT und von Robert Auger vom PayPal Information Risk Management Team zu finden.
Siehe dazu auch:
- Socket Capable Browser Plugins Result In Transparent Proxy Abuse, Beschreibung von Robert Auger
- Intercepting proxy servers may incorrectly rely on HTTP headers to make connections, Warnung des US-CERT
(dab)
