Google schützt Chrome vor neuartigen NAT-Slipstreaming-Angriffen

Google hat auf die Veröffentlichung von Details zu einer neuen Variante der seit Oktober 2020 bekannten NAT-Slipstreaming-Angriffe reagiert. Sein Browser blockiert nun ab Werk jeglichen Traffic, der über bestimmte Ports an Chrome gerichtet ist. Darunter sind auch Ports, die eigentlich standardmäßig von bestimmten Internetprotokollen verwendet werden.

Ende Oktober 2020 hatte der Sicherheitsforscher Samy Kamkar seine Erkenntnisse über NAT Slipstreaming öffentlich gemacht. Bei diesen Angriffen werden Nutzer auf speziell präparierte Websites gelockt, die JavaScript-Code benutzen, um unter Umgehung von Firewalls und Network-Adress-Translation-Tabellen (NAT) eine direkte Verbindung zum Gerät des Opfers herzustellen.

Für diese Attacken missbrauchte Kamkar das Session Initiation Protocol (SIP) über die Ports 5060 und 5061. Zwei Wochen nach seiner Enthüllung blockte Google in Chrome 87 die fraglichen Ports, um zu verhindern, das Hacker per NAT Slipstreaming Nutzer ins Visier nehmen. Das Unternehmen stufte zu dem Zeitpunkt die Angriffstechnik als gefährlich und leicht umzusetzen ein. Kurz darauf ergriffen Apple und Mozilla ähnliche Sicherheitsmaßnahmen für Safari und Firefox.

Anfang vergangener Woche kündigten Forscher einer IoT-Sicherheitsfirma an, sie hätten in Zusammenarbeit mit Kamkar die ursprünglichen Attacken ausgeweitet. Die neue Version nannten sie NAT Slipstreaming 2.0, wobei statt SIP das Multimedia-Protokoll H.323 zum Einsatz kommt, um Firewalls und NAT-Tabellen wirkungslos zu machen. Die Forscher erklärten zudem, die neue Variante sei gefährlicher, weil sie internetbasierte Angriffe auf alle Geräte innerhalb eines Netzwerks erlaube und nicht auf das Gerät des Nutzers beschränkt sei.

Google antwortete nach eigenen Angaben darauf nun mit einer Sperre des Ports 1720, der für das Protokoll H.323 benötigt wird. Darüber hinaus blockiert Chrome sieben weitere Ports, von denen angenommen wird, dass sie sich für NAT Slipstreaming 2.0 eignen: 69, 137, 161, 1719, 1723, 6566 und 10080. Unter anderem würden jegliche HTTP-, HTTPS- und FTP-Verbindungen über diese Ports nun von Chrome abgelehnt.

Auch Firefox und Edge schützen inzwischen vor NAT Slipstreaming 2.0. Mozilla und Microsoft patchten in den vergangenen Tagen die zugehörigen Sicherheitslücken CVE-2021-23961 und CVE-2020-16043.