Nieuws
image

Firefox kwetsbaar voor aanval die volledige url https-sites toont

zaterdag 6 augustus 2016, 11:19 door Redactie, 4 reacties

Tijdens twee hackerconferenties in Las Vegas hebben onderzoekers aangetoond hoe het mogelijk is voor een aanvaller op een netwerk om van andere gebruikers de volledige url van https-sites te achterhalen en zo toegang tot vertrouwelijke informatie als inloggegevens te krijgen.

Het probleem is eind juli al in het nieuws geweest en betreft het gebruik van Proxy Auto-Config (PAC) bestanden om de volledige url van een bezochte website te achterhalen. Https zorgt er normaliter voor dat het verkeer van de gebruiker naar de website is versleuteld. Een aanvaller die het verkeer afluistert kan alleen zien welke website de gebruiker bezoekt, maar niet de inhoud of welke pagina's er worden opgevraagd.

Een kwaadaardige netwerkbeheerder, bijvoorbeeld in het geval van openbare wifi-netwerken, kan browsers die verbinding met het netwerk maken een kwaadaardig PAC-bestand toesturen. Dit PAC-bestand vertelt de browser welke proxyserver er moet worden gebruikt bij het opvragen van een bepaalde url. Omdat het kwaadaardige PAC-bestand de op te vragen url ontvangt voordat de https-verbinding is opgezet, kan de netwerkbeheerder zo de hele url achterhalen. Deze url's kunnen gevoelige gegevens bevatten, zoals zoekopdrachten en tokens voor het inloggen op websites.

Nu onderzoekers Itzik Kotler en Amit Klein tijdens de Black Hat-conferentie hun presentatie (pdf) hebben gegeven, alsmede onderzoekers Alex Chapman en Paul Stone tijdens DEF CON 24, heeft het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit een waarschuwing afgegeven. Daarin staat dat Safari, Chrome, Firefox en Opera kwetsbaar zijn. Apple en Google hebben echter al updates uitgebracht om het probleem te verhelpen.

Of Opera nog kwetsbaar is, is onduidelijk. De browser maakt namelijk van dezelfde engine als Chrome gebruik. In het geval van Firefox is er echter nog geen update verschenen. Deze gebruikers kunnen als tijdelijke oplossing ervoor kiezen om de WPAD (Web Proxy Auto Discovery) functionaliteit van de browser uit te schakelen. Via WPAD kan de browser namelijk het kwaadaardige PAC-bestand opvragen. Het CERT/CC stelt verder dat het onduidelijk is of Internet Explorer en Edge kwetsbaar zijn.

Reacties (4)
06-08-2016, 12:31 door Erik van Straten
about:config
network.proxy.type = 0 (default waarde is 5)

Uit [1]:
0: Direct connection, no proxy. (Default in Windows and Mac previous to 1.9.2.4 /Firefox 3.6.4)
1: Manual proxy configuration.
2: Proxy auto-configuration (PAC).
4: Auto-detect proxy settings.
5: Use system proxy settings. (Default in Linux; default for all platforms, starting in 1.9.2.4 /Firefox 3.6.4)

[1] http://kb.mozillazine.org/Network.proxy.type
06-08-2016, 12:56 door [Account Verwijderd]
[Verwijderd]
06-08-2016, 17:46 door Anoniem
Door Erik van Straten: about:config
network.proxy.type = 0 (default waarde is 5)

Uit [1]:
0: Direct connection, no proxy. (Default in Windows and Mac previous to 1.9.2.4 /Firefox 3.6.4)
1: Manual proxy configuration.
2: Proxy auto-configuration (PAC).
4: Auto-detect proxy settings.
5: Use system proxy settings. (Default in Linux; default for all platforms, starting in 1.9.2.4 /Firefox 3.6.4)

[1] http://kb.mozillazine.org/Network.proxy.type

Ik zie het probleem niet.

Kennelijk is waarde 2 bedreigend maar de standaard waarde is 5.
Onder Mac OS X is waarde 5 geen probleem als je geen aanpassingen hebt gedaan op de standaard settings van je netwerkvoorkeuren.

Voor die andere goede, niet genoemde browser, Torbrowser, lijkt dit met weer een andere standaardwaarde ook al geen probleem te zijn.

Standaard Windows (linux?) netwerkconfig probleem dan?
07-08-2016, 11:15 door Anoniem
Door Taxus: hee..bedankt Erik. was er zelf naar op zoek. overigens: de mijne stond op 2 en niet op 5.
O dan ben jij al gehacked, kennelijk.
Hoe ziet je PAC script er uit?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure