9 de abril de 2011

ATAQUE “SLAAC” EN “IPV6”

Investigadores de InfoSec Institute han descubierto una nueva forma de secuestrar el tráfico de una red interna gracias a la configuración por defecto de IPv6 en Windows y MacOS X por medio de una especie de “hombre en el medio”, llamado SLAAC, que no es un 0 day.

Obtener y redirigir el tráfico de una red interna hacia una máquina controlada por un atacante es una técnica conocida en el mundo de IPv4. Confundir la caché ARP de los sistemas, es uno de los métodos más empleados. Ahora, el ataque SLAAC consigue un efecto parecido pero de forma más "limpia".

Detalle técnico:

  1. El atacante debe introducir un router (o algún dispositivo que actúe como tal, puede ser su propio ordenador) en la red interna con dos interfaces (virtuales o no): una de cara a la red interna, que soporte solamente IPv6 y otra con la conexión a Internet (solamente IPv4). En esos momentos existirá una red adicional IPv6, pero el atacante no controlará el tráfico.
  2. El intruso comenzará a enviar RA (router advertisements, anuncios de rutas), que es una especie de DHCP para IPv6. El objetivo es que el tráfico pase a través de la interfaz IPv6 sin que los clientes noten nada y esto se consigue gracias a una especificación obsoleta.
  3. En resumen, la víctima utiliza sin darse cuenta el DNS del atacante para resolver direcciones y, por tanto, puede ser redirigido a cualquier página (que no use certificados) de forma transparente.

¿ Porque ocurre en Windows y Mac OS X ?

  • Gracias a Stateless address autoconfiguration (SLAAC) los sistemas operativos como Windows y Mac OS X, preferirán usar IPv6 en una red siempre que sea posible.
  • IPv6 está ideado para autoconfigurarse al máximo. Por tanto, obtendrán automáticamente información del router fraudulento introducido por el atacante sin que se note, y comenzarán a usar su servidor DNS fraudulento. Además, es poco probable que en una red exista algún router IPv6, por tanto el atacante no tendrá "interferencias".

Recomendaciones :

  • Deshabilitar lo que no se utilice.
  • En este caso, el soporte IPv6 desde las propiedades de red.

Fuente: Hispasec

Publicado por en
Etiquetas: , , , ,