SLAAC-атака: хищение данных с помощью новых возможностей Windows

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 5 апр 2011.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Исследователи описали в общих чертах возможность похищения конфиденциальной информации при помощи новых возможностей, запущенных по умолчанию в новых операционных системах Windows.

    Атаки MITM (man-in-the-middle), описанные в понедельник, используют новые возможности, добавленные в последние версии Windows, которые позволяют компьютерам легко присоединяться к сетям, используя протокол нового поколения IPv6. Атака также возможна для Apple OS X, хотя решающий эксперимент для этой платформы ещё не проводился, сообщил Джек Козиол, руководитель проекта в InfoSec Institute.

    Атака эксплуатирует стандарт, известный как SLAAC, или Stateless Address Auto Configuration, который помогает клиентам и главному компьютеру найти друг друга в сетях IPv6. Когда метод адресации нового поколения включен, как это сделано по умолчанию в OS X, Windows Vista, Windows 7 и Server 2008, SLAAC может использоваться для создания неавторизованной сети IPv6, которая рероутит трафик через оборудование, контролируемое злоумышленниками.

    "Все эти Windows-компьютеры по умолчанию соединятся с посторонним маршрутизатором вместо подлинного, если этот паразитный сегмент включен", – рассказал Козиол. "Если бы Microsoft не установила эту конфигурацию по умолчанию, то большая часть атаки была бы сведена к нулю и нейтрализована".

    PoC-эксперимент, проведенный научным работником Infosec Institute Алеком Уотерсом, показал, что от конечных пользователей вообще не требуется никаких действий и им не показывается никакого предупреждения о том, что их машины соединены с посторонней сетью.

    Эта техника работает из-за того, что уязвимые ОС автоматически предпочитают использовать новую версию протокола, вместо старого. Внедрение вредоносного оборудования, использующего протокол IPv6 в сети, предназначенные для IPv4, заставит компьютеры автоматически перенаправить весь трафик через постороннее устройство, минуя рассчитанные для этого каналы. Другими словами, атака действует благодаря изменению потока трафика в заранее выбранной сети, выгодно используя предпочтение ОС использовать более новый протокол, а не его раннюю версию.

    Козиол заметил, что в настройках по умолчанию Linux, FreeBSD и другие ОС не являются уязвимыми.

    Эта техника уже давно считается теоретическим методом угона сетевого трафика, также как и "отравление" таблицы маршрутизации ассоциируется с Address Resolution Protocol. Но если для определения и предотвращения ARP-атак существует масса способов, то для противостояния SLAAC атакам их почти нет, сообщает Козиол. Более того, с увеличением применения более новых версий Windows и OS X, атаки будут работать по умолчанию на всё большем количестве машин.

    Конечно, хакерам всё ещё придётся придумывать способы, чтобы внедрить вредоносный компонент в сеть. Но в системах, которые уже уязвимы для внутренних угроз, "поддержка" Microsoft и Apple может допустить возможность атаки в тех местах, где она ранее была невозможна.

    Брюс Каупер, управляющий Microsoft Trustworthy Computing group, опубликовал следующее заявление:

    "Microsoft в курсе обсуждений, происходящих в сообществах, посвящённых информационной безопасности, касающихся возможности использования протокола IPv6 в целях атак типа "человек посередине" на конкретные сети. Но описанный способ атак предполагает, что хакер имеет непосредственный физический доступ, чтобы установить вредоносный роутер. А это уже выходит за рамки нормального обеспечения безопасности".



    источник
     
    2 пользователям это понравилось.

Поделиться этой страницей