Уязвимость, которая влияет на большую часть операционных систем и браузеров, была обнаружена исследователями из компании SafeBreach. С помощью бреши хакеры могут проводить эксфильтрацию URL-адресов из HTTPS-трафика.
Источником угрозы являются файлы автоматической конфигурации прокси (PAC), которые определяют, каким образом осуществляется обработка браузером протоколов HTTP, HTTPS и FTP. Файлы PAC пользуются функцией JavaScript, которая называется FindProxyForURL, чтобы определять, были ли URL-адреса выбраны напрямую или с помощью прокси-сервера.
Эксперты SafeBreach обнаружили, что, внедрив вредоносный алгоритм в функцию FindProxyForURL, злоумышленник сможет прочесть URL-адреса сайтов, которые посещал пользователь, в том числе и с помощью протокола HTTPS. Подобные атаки могут быть проведены на всех популярных браузерах, работающих с Linux, macOS и Windows.
Как утверждают исследователи, существуют два способа проведения атаки. Часть вредоносного программного обеспечения, которое заполучило доступ к системе, может принудить зараженный компьютер воспользоваться статическим файлом proxy.pac, находящимся под контролем злоумышленника. Второй метод подразумевает применение протокола WPAD. Если целевое устройство настроено на работу с протоколом, то при атаке типа man-in-the-middle взломщик может осуществить хищение коммуникации, связанной с WPAD, и сделать так, чтобы браузер использовал вредоносный PAC-ресурс.
Согласно информации экспертов, сразу после того, как киберпреступник настраивает систему на применение вредоносного прокси-сервера, он может осуществлять перехват всех URL-адресов и их эксфильтрацию на подконтрольное устройство.