Исследователи описали в общих чертах возможность похищения конфиденциальной
информации при помощи новых возможностей, запущенных по умолчанию в новых
операционных системах Windows.
Атаки MITM (man-in-the-middle), описанные в понедельник, используют новые
возможности, добавленные в последние версии Windows, которые позволяют
компьютерам легко присоединяться к сетям, используя протокол нового поколения
IPv6. Атака также возможна для Apple OS X, хотя решающий эксперимент для этой
платформы ещё не проводился, сообщил Джек Козиол, руководитель проекта в InfoSec
Institute.
Атака эксплуатирует стандарт, известный как
SLAAC, или
Stateless Address Auto Configuration, который помогает клиентам и главному
компьютеру найти друг друга в сетях IPv6. Когда метод адресации нового поколения
включен, как это сделано по умолчанию в OS X, Windows Vista, Windows 7 и Server
2008, SLAAC может использоваться для создания неавторизованной сети IPv6,
которая рероутит трафик через оборудование, контролируемое злоумышленниками.
"Все эти Windows-компьютеры по умолчанию соединятся с посторонним
маршрутизатором вместо подлинного, если этот паразитный сегмент включен", –
рассказал Козиол. "Если бы Microsoft не установила эту конфигурацию по
умолчанию, то большая часть атаки была бы сведена к нулю и нейтрализована".
PoC-эксперимент, проведенный научным работником Infosec Institute Алеком
Уотерсом, показал, что от конечных пользователей вообще не требуется никаких
действий и им не показывается никакого предупреждения о том, что их машины
соединены с посторонней сетью.
Эта техника работает из-за того, что уязвимые ОС автоматически предпочитают
использовать новую версию протокола, вместо старого. Внедрение
вредоносного оборудования, использующего протокол IPv6 в сети, предназначенные
для IPv4, заставит компьютеры автоматически перенаправить весь трафик через
постороннее устройство, минуя рассчитанные для этого каналы. Другими словами,
атака действует благодаря изменению потока трафика в заранее выбранной сети,
выгодно используя предпочтение ОС использовать более новый протокол, а не его
раннюю версию.
Козиол заметил, что в настройках по умолчанию Linux, FreeBSD и другие ОС не
являются уязвимыми.
Эта техника уже давно считается теоретическим методом угона сетевого трафика,
также как и "отравление" таблицы маршрутизации ассоциируется с Address
Resolution Protocol. Но если для определения и предотвращения ARP-атак
существует масса способов, то для противостояния SLAAC атакам их почти нет,
сообщает Козиол. Более того, с увеличением применения более новых версий Windows
и OS X, атаки будут работать по умолчанию на всё большем количестве машин.
Конечно, хакерам всё ещё придётся придумывать способы, чтобы внедрить
вредоносный компонент в сеть. Но в системах, которые уже уязвимы для внутренних
угроз, "поддержка" Microsoft и Apple может допустить возможность атаки в тех
местах, где она ранее была невозможна.
Брюс Каупер, управляющий Microsoft Trustworthy Computing group, опубликовал
следующее заявление:
"Microsoft в курсе обсуждений, происходящих в сообществах, посвящённых
информационной безопасности, касающихся возможности использования протокола IPv6
в целях атак типа "человек посередине" на конкретные сети. Но описанный способ
атак предполагает, что хакер имеет непосредственный физический доступ, чтобы
установить вредоносный роутер. А это уже выходит за рамки нормального
обеспечения безопасности".
