Исследователи описали в общих чертах возможность похищения
конфиденциальной
информации при помощи новых возможностей, запущенных по умолчанию в
новых
операционных системах Windows.
Атаки MITM (man-in-the-middle), описанные в понедельник, используют
новые
возможности, добавленные в последние версии Windows, которые позволяют
компьютерам легко присоединяться к сетям, используя протокол нового
поколения
IPv6. Атака также возможна для Apple OS X, хотя решающий эксперимент для
этой
платформы ещё не проводился, сообщил Джек Козиол, руководитель проекта в
InfoSec
Institute.
Атака эксплуатирует стандарт, известный как
SLAAC,
или
Stateless Address Auto Configuration, который помогает клиентам и
главному
компьютеру найти друг друга в сетях IPv6. Когда метод адресации нового
поколения
включен, как это сделано по умолчанию в OS X, Windows Vista, Windows 7 и
Server
2008, SLAAC может использоваться для создания неавторизованной сети
IPv6,
которая рероутит трафик через оборудование, контролируемое
злоумышленниками.
"Все эти Windows-компьютеры по умолчанию соединятся с посторонним
маршрутизатором вместо подлинного, если этот паразитный сегмент
включен", –
рассказал Козиол. "Если бы Microsoft не установила эту конфигурацию по
умолчанию, то большая часть атаки была бы сведена к нулю и
нейтрализована".
PoC-эксперимент, проведенный научным работником Infosec Institute
Алеком
Уотерсом, показал, что от конечных пользователей вообще не требуется
никаких
действий и им не показывается никакого предупреждения о том, что их
машины
соединены с посторонней сетью.
Эта техника работает из-за того, что уязвимые ОС автоматически
предпочитают
использовать новую версию протокола, вместо старого. Внедрение
вредоносного оборудования, использующего протокол IPv6 в сети,
предназначенные
для IPv4, заставит компьютеры автоматически перенаправить весь трафик
через
постороннее устройство, минуя рассчитанные для этого каналы. Другими
словами,
атака действует благодаря изменению потока трафика в заранее выбранной
сети,
выгодно используя предпочтение ОС использовать более новый протокол, а
не его
раннюю версию.
Козиол заметил, что в настройках по умолчанию Linux, FreeBSD и другие
ОС не
являются уязвимыми.
Эта техника уже давно считается теоретическим методом угона сетевого
трафика,
также как и "отравление" таблицы маршрутизации ассоциируется с Address
Resolution Protocol. Но если для определения и предотвращения ARP-атак
существует масса способов, то для противостояния SLAAC атакам их почти
нет,
сообщает Козиол. Более того, с увеличением применения более новых версий
Windows
и OS X, атаки будут работать по умолчанию на всё большем количестве
машин.
Конечно, хакерам всё ещё придётся придумывать способы, чтобы внедрить
вредоносный компонент в сеть. Но в системах, которые уже уязвимы для
внутренних
угроз, "поддержка" Microsoft и Apple может допустить возможность атаки в
тех
местах, где она ранее была невозможна.
Брюс Каупер, управляющий Microsoft Trustworthy Computing group,
опубликовал
следующее заявление:
"Microsoft в курсе обсуждений, происходящих в сообществах,
посвящённых
информационной безопасности, касающихся возможности использования
протокола IPv6
в целях атак типа "человек посередине" на конкретные сети. Но описанный
способ
атак предполагает, что хакер имеет непосредственный физический доступ,
чтобы
установить вредоносный роутер. А это уже выходит за рамки нормального
обеспечения безопасности".
|
