Une fonctionnalité des versions récentes de Windows et Mac OS X
Peut-être exploitée pour détourner le trafic d'un réseau, un PoC a été publié
Le 2011-04-05 13:10:10, par Hinault Romaric, Responsable .NET
Des chercheurs en sécurité ont présenté un moyen permettant de détourner des quantités importantes de données confidentielles dans un trafic réseau, en exploitant une fonctionnalité des systèmes d’exploitation Windows.
L’exploitation de cette attaque, tire partir des fonctionnalités intégrées dans les versions récentes de Windows, permettant aux ordinateurs disposant de l’OS de se connecter facilement à des réseaux utilisant la prochaine génération de protocoles IPv6, et pourrait être utilisée pour pirater des données sur un réseau.
Alex Eaux en chercheur en sécurité pour InfoSec a publié une preuve de faisabilité en utilisant une attaque man-in-the-middle (MITM) sur le trafic IPv4. L’attaque MITM est un scénario d'attaque dans lequel un pirate écoute une communication entre deux interlocuteurs et falsifie les échanges afin de se faire passer pour l'une des parties. L’une de techniques MITM la plus connue est l’usurpation ARP.
L’attaque pourrait également être exploitée sur le système d’exploitation Mac OS X d’Apple même si la preuve de faisabilité n’a pas été testée sur l’OS.
L’attaque exploite la norme industrielle Stateless Address Auto Configuration (SLAAC) utilisée pour permettre aux hôtes de se retrouver sur le réseau IPv6. L’utilisation de cette norme est activée par défaut pour les systèmes d’exploitation Mac OS X, Windows Vista, Windows 7 et Windows Server 2008. Un pirate peut alors exploiter SLAAC en créant un réseau clandestin IPv6 qui sera utilisé pour l’acheminement des données.
Selon les chercheurs de sécurité, la technique fonctionne parceque les systèmes d’exploitations vulnérables utilisent automatiquement le nouveau protocole par dessus l’ancien. L’implantation d’un dispositif qui utilise IPv6 dans un réseau IPv4 entraine automatiquement l’acheminement des données des ordinateurs vers ce dispositif.
Donc pour pouvoir exploiter cette faille, un pirate doit au préalable pouvoir glisser dans le réseau ciblé son matériel IPv6 (Un routeur par exemple).
La seule façon d’empêcher des vols de données en exploitant cette faille, pour l’instant est la désactivation d’IPv6 sur toutes machines qui n’utilisent pas ce protocole.
Source : Info Sec
L’exploitation de cette attaque, tire partir des fonctionnalités intégrées dans les versions récentes de Windows, permettant aux ordinateurs disposant de l’OS de se connecter facilement à des réseaux utilisant la prochaine génération de protocoles IPv6, et pourrait être utilisée pour pirater des données sur un réseau.
Alex Eaux en chercheur en sécurité pour InfoSec a publié une preuve de faisabilité en utilisant une attaque man-in-the-middle (MITM) sur le trafic IPv4. L’attaque MITM est un scénario d'attaque dans lequel un pirate écoute une communication entre deux interlocuteurs et falsifie les échanges afin de se faire passer pour l'une des parties. L’une de techniques MITM la plus connue est l’usurpation ARP.
L’attaque pourrait également être exploitée sur le système d’exploitation Mac OS X d’Apple même si la preuve de faisabilité n’a pas été testée sur l’OS.
L’attaque exploite la norme industrielle Stateless Address Auto Configuration (SLAAC) utilisée pour permettre aux hôtes de se retrouver sur le réseau IPv6. L’utilisation de cette norme est activée par défaut pour les systèmes d’exploitation Mac OS X, Windows Vista, Windows 7 et Windows Server 2008. Un pirate peut alors exploiter SLAAC en créant un réseau clandestin IPv6 qui sera utilisé pour l’acheminement des données.
Selon les chercheurs de sécurité, la technique fonctionne parceque les systèmes d’exploitations vulnérables utilisent automatiquement le nouveau protocole par dessus l’ancien. L’implantation d’un dispositif qui utilise IPv6 dans un réseau IPv4 entraine automatiquement l’acheminement des données des ordinateurs vers ce dispositif.
Donc pour pouvoir exploiter cette faille, un pirate doit au préalable pouvoir glisser dans le réseau ciblé son matériel IPv6 (Un routeur par exemple).
La seule façon d’empêcher des vols de données en exploitant cette faille, pour l’instant est la désactivation d’IPv6 sur toutes machines qui n’utilisent pas ce protocole.
Source : Info Sec
-
GCSX_Membre confirméAutrement dit la faille n'est ni dans Windows, ni dans Mac OSX mais dans la spécification IPv6.
Un ordinateur sous Linux avec la couche IPv6 activé serait également vulnérable non?le 05/04/2011 à 13:34 -
FirwenMembre expérimentéProbablement sous Linux aussi, mais le terme "vulnérabilité" est largement exagéré.Autrement dit la faille n'est ni dans Windows, ni dans Mac OSX mais dans la spécification IPv6
C'est juste une variante de l'ARP poisonig fonctionnant avec le mécanisme d'auto assignement d'adresse d'Ipv6.le 05/04/2011 à 14:38 -
cs_ntdMembre éprouvéEt comme celà reste confiné au réseau local, et bien on n'est pas plus ou moins en sécurité qu'avant. A partir du moment ou quelqu'un de l'exterieur peut placer un routeur sur votre réseau... la sécurité est déjà compromise. Les réseaux locaux ne sont pas locaux pour rien.
Leur sécurité est bien faible et dépend beaucoup des utilisateurs
Mais ça fait toujours une attaque de plus a detecter par les dispositifs de sécurité.le 05/04/2011 à 23:09 -
FirwenMembre expérimentéOn est même plus en sécurité avec v6 qu'en v4 je pense.Et comme celà reste confiné au réseau local, et bien on n'est pas plus ou moins en sécurité qu'avant. A partir du moment ou quelqu'un de l'exterieur peut placer un routeur sur votre réseau... la sécurité est déjà compromise. Les réseaux locaux ne sont pas locaux pour rien.
Leur sécurité est bien faible et dépend beaucoup des utilisateurs
Ipv6 utilise le multicast pour effectuer les routeurs advertisements.
Sauf erreur de ma part, ça doit donc etre possible d'utiliser Ipsec pour protéger la plage multicast réservée aux routeurs advertisements et donc bannir complètement ce risque.le 06/04/2011 à 8:24