Обнаружена уязвимость, влияющая на большинство ОС и браузеров. С ее помощью злоумышленники могут эксфильтрировать URL-адреса из HTTPS-трафика. Угроза связана с файлами автоматической конфигурации прокси (PAC), определяющими, как браузер обрабатывает пртоколы HTTP, HTTPS и FTP.
PAC-файлы используют функцию JavaScript под названием FindProxyForURL для определения выбраны ли URL-адреса напрямую или же при помощи прокси-сервера.
ИБ-эксперты из компании SafeBreach выяснили, что за счет внедрения вредоносного алгоритма в функцию FindProxyForURL, атакующий может прочитать URL-адреса, на которые заходил пользователь, включая HTTPS URL. Такие атаки могут угрожать всем популярным web-браузерам на системах Windows, Mac и Linux.
По словам исследователей, злоумышленник может производить атаку двумя способами. Часть вредоносного ПО, получившего доступ к целевой системе, может заставить инфицированнный компьютер использовать статический файл proxy.pac, контролируемый злоумышленником. Второй способ атаки включает протокол WPAD. Если устройство жертвы сконфигурировано на использование протокола, в ходе атаки «человек посередине» атакующий может похитить связанные с WPAD коммуникации и сделать так, чтобы вредоносный PAC-ресурс использовался браузером.
Как утверждают эксперты, с момента настройки системы на использование вредоносного прокси-сервера, злоумышленник получает возможность перехватывать все URL-адреса и эксфильтрировать их на подконтрольное им устройство.
Источник http://www.securitylab.ru/
