Ataques por repetição

Um ataque de reprodução ocorre quando um invasor copia um fluxo de mensagens entre duas partes e reproduz o fluxo para uma ou mais das partes. A menos que seja mitigado, os computadores sujeitos ao ataque processam o fluxo como mensagens legítimas, resultando em uma série de consequências ruins, como ordens redundantes de um item.

Associações podem estar sujeitas a ataques de reflexão

Ataques de reflexão são reproduções de mensagens de volta para um remetente como se tivessem vindo do receptor como a resposta. A detecção de reprodução padrão no mecanismo WCF (Windows Communication Foundation) não lida automaticamente com isso.

Os ataques de reflexão são mitigados por padrão porque o modelo de serviço do WCF adiciona uma ID de mensagem assinada para solicitar mensagens e espera um cabeçalho assinado relates-to nas mensagens de resposta. Consequentemente, a mensagem de solicitação não pode ser reproduzida como uma resposta. Em cenários de RM (mensagem confiável segura), os ataques de reflexão são mitigados porque:

• Os esquemas criar sequência e criar mensagens de resposta de sequência são diferentes.

• Para sequências simplex, as mensagens de sequência enviadas pelo cliente não podem ser reproduzidas de volta porque o cliente não consegue entender essas mensagens.

• Para sequências duplex, as duas IDs de sequência devem ser exclusivas. Portanto, uma mensagem de sequência de saída não pode ser reproduzida como uma mensagem de sequência de entrada (todos os cabeçalhos de sequência e corpos também são assinados).

As únicas associações suscetíveis a ataques de reflexão são aquelas sem WS-Addressing: associações personalizadas que têm WS-Addressing desabilitadas e usam a segurança simétrica baseada em chave. O BasicHttpBinding não usa o WS-Addressing por padrão, mas não usa a segurança simétrica baseada em chave de uma maneira que permite que ele fique vulnerável a esse ataque.

A mitigação para associações personalizadas é não estabelecer o contexto de segurança nem exigir cabeçalhos WS-Addressing.

Web farm: invasor reproduz solicitação para vários nós

Um cliente usa um serviço implementado em um Web farm. Um invasor repete uma solicitação que foi enviada para um nó na fazenda para outro nó na fazenda. Além disso, se um serviço for reiniciado, o cache de reprodução será liberado, permitindo que um invasor reproduza a solicitação. (O cache contém valores de assinatura de mensagem usados, vistos anteriormente e impede reproduções para que essas assinaturas possam ser usadas apenas uma vez. Os caches de reprodução não são compartilhados em um Web farm.)

Atenuantes incluem:

• Use a segurança do modo de mensagem com tokens de contexto de segurança com estado (com ou sem conversa segura habilitada). Para obter mais informações, confira Como criar um token de contexto de segurança para uma sessão segura.

• Configure o serviço para usar a segurança no nível do transporte.

Confira também

• Considerações sobre segurança
• Divulgação de Informações Confidenciais
• Elevação de Privilégio
• Negação de Serviço
• Adulteração
• Cenários sem suporte