SLAAC-атака: хищение данных с помощью новых возможностей Windows

06.04.2011 | 10:34
SLAAC-атака: хищение данных с помощью новых возможностей Windows
Исследователи описали в общих чертах возможность похищения конфиденциальной информации при помощи новых возможностей, запущенных по умолчанию в новых операционных системах Windows.

Атаки MITM (man-in-the-middle), описанные в понедельник, используют новые возможности, добавленные в последние версии Windows, которые позволяют компьютерам легко присоединяться к сетям, используя протокол нового поколения IPv6. Атака также возможна для Apple OS X, хотя решающий эксперимент для этой платформы ещё не проводился, сообщил Джек Козиол, руководитель проекта в InfoSec Institute.

Атака эксплуатирует стандарт, известный как SLAAC, или Stateless Address Auto Configuration, который помогает клиентам и главному компьютеру найти друг друга в сетях IPv6. Когда метод адресации нового поколения включен, как это сделано по умолчанию в OS X, Windows Vista, Windows 7 и Server 2008, SLAAC может использоваться для создания неавторизованной сети IPv6, которая рероутит трафик через оборудование, контролируемое злоумышленниками.

"Все эти Windows-компьютеры по умолчанию соединятся с посторонним маршрутизатором вместо подлинного, если этот паразитный сегмент включен", – рассказал Козиол. "Если бы Microsoft не установила эту конфигурацию по умолчанию, то большая часть атаки была бы сведена к нулю и нейтрализована".

PoC-эксперимент, проведенный научным работником Infosec Institute Алеком Уотерсом, показал, что от конечных пользователей вообще не требуется никаких действий и им не показывается никакого предупреждения о том, что их машины соединены с посторонней сетью.

Эта техника работает из-за того, что уязвимые ОС автоматически предпочитают использовать новую версию протокола, вместо старого. Внедрение вредоносного оборудования, использующего протокол IPv6 в сети, предназначенные для IPv4, заставит компьютеры автоматически перенаправить весь трафик через постороннее устройство, минуя рассчитанные для этого каналы. Другими словами, атака действует благодаря изменению потока трафика в заранее выбранной сети, выгодно используя предпочтение ОС использовать более новый протокол, а не его раннюю версию.

Козиол заметил, что в настройках по умолчанию Linux, FreeBSD и другие ОС не являются уязвимыми.

Эта техника уже давно считается теоретическим методом угона сетевого трафика, также как и "отравление" таблицы маршрутизации ассоциируется с Address Resolution Protocol. Но если для определения и предотвращения ARP-атак существует масса способов, то для противостояния SLAAC атакам их почти нет, сообщает Козиол. Более того, с увеличением применения более новых версий Windows и OS X, атаки будут работать по умолчанию на всё большем количестве машин.

Конечно, хакерам всё ещё придётся придумывать способы, чтобы внедрить вредоносный компонент в сеть. Но в системах, которые уже уязвимы для внутренних угроз, "поддержка" Microsoft и Apple может допустить возможность атаки в тех местах, где она ранее была невозможна.

Брюс Каупер, управляющий Microsoft Trustworthy Computing group, опубликовал следующее заявление:

"Microsoft в курсе обсуждений, происходящих в сообществах, посвящённых информационной безопасности, касающихся возможности использования протокола IPv6 в целях атак типа "человек посередине" на конкретные сети. Но описанный способ атак предполагает, что хакер имеет непосредственный физический доступ, чтобы установить вредоносный роутер. А это уже выходит за рамки нормального обеспечения безопасности".
SLAAC-атака, хищение данных, возможности, Windows, Man In The Middle, Windows, взлом, протокол
По материалам xakep.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (1)
  1. Добавлено Vaddy 06.04.2011 | 20:27Подключаемся к инету через роутер с включённым NAT и нет проблем
Оставьте комментарий:CaptchaОбновить проверочный код