Многие персональные VPN раскрывают IP-адрес из-за бреши в WebRTC

Многие персональные VPN раскрывают IP-адрес из-за бреши в WebRTC

Эксперт в области безопасности, известный под псевдонимом VoidSec (настоящее имя Паоло Станьо) обнаружил проблему с VPN-сервисами — оказалось, что 23% (16 из 70) протестированных решений раскрывают IP-адрес пользователей через WebRTC.

Вообще, проблемы у WebRTC с конфиденциальностью известны давно — как минимум с 2015 года. WebRTC представляет собой популярный проект с открытым исходным кодом, предназначенный для организации передачи потоковых данных между браузерами или другими поддерживающими его приложениями.

WebRTC часто взаимодействует с ICE (Interactive Connectivity Establishment) и серверами STUN (Session Traversal Utilities for NAT). VPN-решения, в свою очередь, используют STUN для преобразования локального IP-адреса пользователя VPN в общедоступный, во многом схема их работы похожа на то, как работает домашний маршрутизатор.

По словам VoidSec, WebRTC позволяет запросить информацию, которая должна оставаться конфиденциальной.

«WebRTC позволяет отправлять запросы на серверы STUN, которые возвращают “скрытый” домашний IP-адрес, а также адреса локальной сети», — говорит эксперт.

Такие запросы обычно не видны, поскольку они не являются частью стандартного взаимодействия XML-HTTP, но их можно осуществить с помощью JavaScript, утверждает специалист. Этот метод можно реализовать в любом браузере, который поддерживает WebRTC и JavaScript.

Во многих браузерах — Brave, Chrome (десктопная версия и для Android), Firefox, Samsung Internet Browser, Opera, Vivaldi — WebRTC и JavaScript включены по умолчанию.

Исследователь опубликовал список VPN-сервисов, которые допускают утечку конфиденциальной инфомрации.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый вектор атаки GrimResource использует MSC-файлы и XSS-брешь в Windows

Новый вектор атаки, получивший имя «GrimResource», позволяет выполнить произвольные команды с помощью непропатченной XSS-уязвимости в Windows и специально созданных файлов в формате MSC (Microsoft Saved Console).

На .msc-файлы злоумышленники перешли после того, как Microsoft приняла ряд защитных мер, затрудняющих проведение фишинговых атак с помощью ярлыков и файлов OneNote.

Windows MSC используются в Консоли управления (MMC) для настройки различных компонентов операционной системы, а также для создания кастомного представления часто используемых инструментов.

Команда исследователей из компании Elastic обнаружила новую технику распространения MSC-файлов и эксплуатации старой, но незакрытой уязвимости межсайтового скриптинга в Windows. Ранее эта XSS, затрагивающая библиотеку apds.dll, использовалась для установки Cobalt Strike.

Специалисты Elastic нашли образец (sccm-updater.msc), загруженный на VirusTotal 6 июня 2024 года. Оказалось, что этот семпл использовал вектор GrimResource, что означает применение техники в реальных кибератаках. Интересно, что ни один антивирус не выявил угрозу.

Отметим также, что вредоносные MSC-файлы, участвующие в GrimResource, эксплуатируют дыру в apds.dll, которая позволяет выполнять JavaScript-код с помощью специально подготовленных URL.

Microsoft узнала об этой уязвимости ещё в октябре 2018 года, однако корпорация тогда посчитала, что уровень проблемы не соответствует подходящим под патчинг критериям.

В Elastic также уточнили, что упомянутая брешь может использоваться в связке с техникой DotNetToJScript. Они вместе позволяют выполнять .NET-код через JavaScript-движок.

Специалисты поделились в соцсети X видеодемонстрацией GrimResource:

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru