CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

11/04/2011

SLAAC attack: el "home en el mig" d'IPv6

Ataque Investigadors descobreixen una nova forma de robar el tràfic d'una xarxa interna gràcies a funcionalitat per defecte en alguns dels sistemes operatius actuals.

Investigadors d'InfoSec Institute han descobert una nova forma de robar el tràfic d'una xarxa interna gràcies a la configuració per defecte de IPv6 en Windows i MacOS X. Es tracta d'una espècie d'home en el mig, però molt més senzill que les tècniques habituals en IPv4 (per exemple arp-spoofing). A l'atac se li ha nomenat, SLAAC però no es tracta d'un 0 Day, com proclamen.

Obtindre i redirigir el tràfic d'una xarxa interna cap a una màquina controlada per un atacant és una tècnica coneguda en el món de IPv4. Enverinar la memòria cau ARP dels sistemes és un dels mètodes més empleats. Ara, l'atac SLAAC aconsegueix un efecte semblant però de forma més "neta".

En què consisteix

L'atacant ha d'introduir un encaminador, o algun dispositiu que actue com a tal, en la xarxa interna amb dues interfícies: una que suporte només IPv6 i una altra només IPv4. En aqueixos moments hi haurà una xarxa addicional IPv6, però l'atacant encara no controlarà el tràfic. Amb l'ús del protocol NAT-PT, que va ser una primera aproximació a la traducció directa entre adreces IPv4 i IPv6 per a aconseguir connectivitat entre els dos tipus de xarxes, però el desenrotllament dels quals va ser abandonat en 2007, es pot aconseguir una rèplica de la xarxa IPv4 sobre el protocol IPv6. Açò, junt amb el fet que els sistemes operatius moderns prefereixen utilitzar IPv6 sempre que es trobe disponible, fa que es consumix l'atac. 

En resum, la víctima utilitza la xarxa de l'atacant per a resoldre adreces i, per tant, pot ser redirigit a qualsevol pàgina (que no use certificats) de forma transparent.

Per què ocorre

Gràcies a Stateless address autoconfiguration (SLAAC) els sistemes operatius com Windows i MacOS X, preferiran usar IPv6 en una xarxa sempre que siga possible. IPv6 està ideat per a autoconfigurar-se al màxim. Per tant, obtindran automàticament informació de l'encaminador fraudulent introduït per l'atacant sense que es note, i començaran a usar el seu servidor DNS fraudulent. A més, és poc probable que en una xarxa hi haja algun encaminador IPv6, per tant l'atacant no tindrà "interferències".

Encara que en InfoSec proclamen que es tracta d'un 0-Day, està lluny de la definició formal d'aqueix concepte. Segons ells, s'han posat en contacte amb Microsoft i comenten que valoraran el problema.

Avantatges i inconvenients de l'atac

Aquests problemes amb encaminadors "rogue" ja són més que coneguts en entorns IPv4, i fins i tot en entorns IPv6 hi ha programari per a simular-ho. Però fins ara es prenien més com una molèstia que com un atac. Aquesta prova de concepte confirma un escenari i un mètode d'"aprofitament" viable.

L'atac SLAAC té a més una sèrie d'avantatges. Per exemple, no cal alterar la xarxa IPv4 de la víctima (ni la memòria cau ARP dels equips...), ni tan sols utilitzar una adreça IP d'aqueixa xarxa. S'aprofita de forma neta una funcionalitat (no un fallada) dels sistemes moderns: preferir IPv6 sobre IPv4.

L'atac també tendeix a ser silenciós: la xarxa IPv4 i per tant, els seus sistemes de defensa i monitorització "tradicionals", no són alterats.

Recomanacions

Simplement, com sempre, deshabilitar el que no s'utilitze. En aquest cas, el suport IPv6 des de les propietats de xarxa.

Es pot llegir la notícia completa en Hispasec.

Font: Hispasec una-al-día

CSIRT-CV