Google implanta mitigações do Chrome contra novo ataque NAT Slipstreaming

Google implanta mitigações do Chrome contra novo ataque NAT Slipstreaming

O Google bloqueou oito portas adicionais dentro do navegador Chrome para evitar uma nova variação de um ataque chamado NAT Slipstreaming. Foi o que anunciaram os engenheiros da empresa. O ataque NAT Slipstreaming original  apareceu pela primeira vez em 31 de outubro de 2020. Ocorreo por meio de  Samy Kamkar, um pesquisador de segurança.

O ataque funcionou atraindo usuários para um site malicioso. Nele, o código JavaScript estabeleceria uma conexão com o dispositivo da vítima diretamente. Assim, contornaria as defesas fornecidas por firewalls e tabelas de tradução de endereços de rede (NAT).

O invasor pode abusar dessa conexão com o sistema do usuário para lançar ataques a dispositivos localizados na rede interna da vítima.

A versão inicial do ataque NAT Slipstreaming abusou do protocolo Session Initiation Protocol (SIP). Dessa forma, estabelece essas conexões pinhole com dispositivos em redes internas através das portas 5060 e 5061.

Duas semanas depois que o ataque se tornou público, o Google respondeu à descoberta de Kamkar bloqueando essas duas portas no Chrome 87 para evitar que os invasores abusassem dessa técnica, que o fabricante do navegador considerou uma ameaça grave e fácil de abusar.

A Apple e a Mozilla também enviaram blocos semelhantes dentro do Safari e Firefox semanas depois.

Google implanta mitigações do Chrome contra novo ataque NAT Slipstreaming

Google implanta mitigações do Chrome contra novo ataque NAT Slipstreaming
Imagem: YouTube

Mas no início desta semana, pesquisadores de segurança da empresa de segurança IoT anunciaram que trabalharam com Kamkar para expandir o ataque original com uma nova versão que chamaram de  NAT Slipstreaming 2.0.

Esta nova versão substitui SIP e piggybacks no   protocolo multimídia H.323 para abrir os mesmos túneis dentro de redes internas e contornar firewalls e tabelas NAT.

Os pesquisadores da Armis disseram que a variante 2.0 do ataque NAT Slipstreaming era tão potente quanto a primeira. Isso permitiu a mesma classe de ataques com base na Internet em dispositivos normalmente acessíveis apenas de LANs internas.

Portas 69, 137, 161, 1719, 1720, 1723, 6566, 10080 a serem bloqueadas

Hoje cedo, o Google disse que iria bloquear as conexões para a porta 1720, usada pelo protocolo H.323. Da mesma forma, bloquearam sete outras portas para ataques do NAT Slipstreaming.

As outras sete portas eram 69, 137, 161, 1719, 1723, 6566 e 10080.

Quaisquer conexões HTTP, HTTPS ou FTP através dessas portas irão falhar agora, disse o Google hoje.

De acordo com um  relatório de status de recurso do Chrome, o bloqueio já está ativo para qualquer usuário usando a versão do Chrome 87.0.4280.117 e posterior.

Parece que a atualização da lista de portas bloqueadas foi feita no servidor, sem a necessidade de fornecer uma atualização separada do Chrome para os usuários finais.

Do mesmo modo, os navegadores Firefox e Microsoft Edge também implantaram uma correção para o ataque NAT Slipstreaming 2.0. A correção do Firefox está no Firefox 85 do  início desta semana como CVE-2021-23961. Por outro lado, a correção do Edge está como uma correção para CVE-2020-16043.

ZDNet