Pesquisadores da Neohapsis Labs identificaram um ataque man-in-the-middle engenhosamente simples que pode sequestrar a capacidade IPv6 de um PC para interceptar silenciosamente todo o tráfego web da rede-alvo.
Devido a divulgação pública durante a conferência DEF CON 21, o design do ataque não é novo - a princípio ele é semelhante ao princípio do Address Auto Configuration (SLAAC) demonstrada na Infosec em 2011, mas estende-se a segmentos do Windows 8 pela primeira vez.
Supondo que apenas um endereço IPv4 esteja disponível na rede, a equipe foi capaz de usar um script 'Sudden Six' executado a partir de um host Linux para inserir rapidamente o sistema como um roteador IPv6 não-autorizado. Essa sobreposição IPv6 foi capaz de interceptar todo o tráfego que viajar por ele, ou seja, todo o tráfego na rede.
Pela descrição não está claro o quão fácil este roteamento seria detectado na infra-estrutura IPv4 estabelecida, mas, em teoria, o ataque seria invisível.
Embora a equipe tenha testado contra clientes Windows 8, o ataque funcionaria contra qualquer PC que possa ser habilitado o suporte IPv6 por padrão, que inclui muitos negócios e todos os sistemas de consumidores que usam do Windows 7 em diante.
Ironicamente, a maior limitação do ataque é que ele não funciona contra o pequeno número de redes que nativamente encaminham o tráfego IPv6, nesse caso a camada não funciona. Somente redes IPv4 são vulneráveis.
Outra defesa manual é desabilitar o suporte ao IPv6 na placa de rede de cada PC, embora a Neohapsis observa que esta abordagem pode ...
Another more manual defence is to disable IPv6 support on the network interface cards of every PC, although Neohapsis points out that this approach might defeat efforts to boost its uptake.
"Para reduzi-lo, os atacantes podem facilmente armar um ataque em nossos sistemas, simplesmente aproveitando esta vulnerabilidade", disse o chefe de laboratório da Neohapsis, Scott Behrens. "Eles podem fingir ser um roteador IPv6 em sua rede e ver todo o seu tráfego web, incluindo dados que estão sendo enviados para e da sua máquina."
E o pior, "o cracker pode modificar páginas na web para lançar ataques do lado do cliente, ou seja, eles poderiam criar sites falsos que se parecem com o que você está tentando acessar, mas enviar todos os dados inseridos de volta para o cibercriminoso (como seu nome de usuário e senha ou número do cartão de crédito) ".
Idealmente, uma defesa mais profunda contra o ataque estaria de acordo com as linhas de segurança da Cisco, em que a porta do roteador IPv6 confiável é anunciada (ver RFC 6105 para mais detalhes), disse Behrens.
A empresa disse que publicaria a ferramenta Sudden Six após a apresentação, na sexta-feira.
Por: John E. Dunn, Techworld / EUA.
Nenhum comentário: