Google разворачивает средства защиты Chrome от новой атаки NAT Slipstreaming

Нечего заразу ловить, решили в Google и заблокировали восемь портов в Chrome. Фото: Pixabay.

Атака работала, заманивая пользователей на вредоносный веб-сайт, где код JavaScript устанавливал соединение с устройством жертвы напрямую, минуя защиту, обеспечиваемую межсетевыми экранами и таблицами трансляции сетевых адресов (NAT).

Злоумышленник может использовать это подключение к системе пользователя для запуска атак на устройство пользователя, говорится в сообщении компании.

Читайте в тему:

• Создатели браузеров запускают новый проект по написанию документации для веб-API.
• Поиск Google на мобильных устройствах получит редизайн.
• Новое расширение Otter.ai для Chrome расшифрует звонки Google Meet в режиме реального времени.

Первоначальная версия зловреда NAT Slipstreaming злоупотребляла  протоколом Session Initiation Protocol  (SIP) для установления этих точечных соединений с устройствами во внутренних сетях через порты 5060 и 5061.

Через две недели после того, как об алгоритме стало известно, разработчики браузера заблокировали эти два порта  в  Chrome 87 чтобы  пресечь действия злоумышленника.

Apple и Mozilla также добавили похожие блоки в  Safari  и  Firefox  через несколько недель.

Однако вскоре стало известно о существовании ещё более продвинутого зловреда NAT Slipstreaming 2.0. Новая версия заменяет SIP и дополнительные возможности  мультимедийного протокола H.323 для открытия тех же туннелей внутри внутренних сетей и обхода межсетевых экранов и таблиц NAT.

Исследователи заявили, что вариант атаки NAT Slipstreaming 2.0 был даже более опасным, чем первый вариант, поскольку он позволял атаки через Интернет на другие устройства внутри локальной сети.

В ответ в Google заявили, что заблокируют подключения к порту 1720, используемому протоколом H.323, а также к семи другим портам(69, 137, 161, 1719, 1723, 6566 и 10080), которые, по их мнению, также могут быть использованы таким же образом для других аналогичных вариантов атаки NAT Slipstreaming. Любые HTTP, HTTPS или FTP-соединения через эти порты больше не будут работать.

Согласно  отчёту о статусе функций Chrome, блокировка уже активна для любого пользователя, использующего Chrome 87.0.4280.117 или более позднюю версию.

Обновление списка заблокированных портов было выполнено на стороне сервера без необходимости доставки отдельного обновления Chrome конечным пользователям. Браузеры Firefox и Microsoft Edge также развернули исправление.

Как сообщал Startpack, ранее Google анонсировала набор инструментов для управления инфраструктурой VM Manager.

Startpack также подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит продукты российских и зарубежных разработчиков.