image

Windows 7 kwetsbaar voor IPv6-aanvallen

dinsdag 5 april 2011, 12:35 door Redactie, 33 reacties

De standaard netwerkconfiguratie van Windows 7 bevat een beveiligingsprobleem waardoor aanvallers al het netwerkverkeer kunnen kapen en onderscheppen, zonder dat de gebruiker dit weet of er enige interactie is vereist. Het probleem speelt niet alleen met Windows 7, maar ook met Vista en Windows Server 2008 installaties. Een aanvaller kan een "IPv6 overlay" over een IPv4-only netwerk plaatsen, om zo een man-in-the-middle aanval op het IPv4-verkeer uit te voeren.

IPv6 gebruikt geen ARP (Address Resolution Protocol), maar verschillende andere protocollen om de fysieke adressen van anderen op de local link te ontdekken. Ook routers kunnen hun aanwezigheid op de local link middels multicasting Router Advertisement (RA) berichten aankondigen. Als een host die IPv6-aware is een RA ontvangt, kan het zichzelf een geldig routeerbaar IPv6 adres toekennen, door een proces dat Stateless Address Auto Configuration (SLAAC) heet. De host gebruikt dan het bronadres van de RA als standaard gateway. In het geval van de SLAAC-aanval, wordt er een fysieke router geïntroduceerd die uiteindelijk de man-in-the-middle opzet.

De aanval is een probleem, omdat er een nieuw pad naar het internet wordt geïntroduceerd. Veel beveiligingsproducten controleren alleen het IPv4-verkeer. Sommige oplossingen kunnen zelfs geen IPv6 aan. Aangezien het doelwit geen IPv6 gebruikt, wordt er ook geen aanval verwacht die hier gebruik van maakt.

Onzichtbaar
Volgens beveiligingsonderzoeker Adam Behnke van het Infosec Institute is de aanval volledig transparant en lastig te detecteren, zelfs in een bedrijfsomgeving. Daarnaast werkt de aanval zowel op bedrade als draadloze netwerken. Behnke merkt op dat de aanval het IPv6 naar IPv4 vertalingsproces gebruikt, maar dat er geen bestaand IPv6-netwerk is vereist. Het besturingssysteem hoeft alleen ondersteuning van IPv6 te hebben ingeschakeld. Mac OS X is mogelijk ook kwetsbaar, maar dit is nog niet onderzocht.

Oplossing
Behnke waarschuwde Microsoft, omdat het een kwetsbaarheid in de standaardconfiguratie is en een patch daarom niet mogelijk is. De softwaregigant bevestigde dat het probleem niet eenvoudig is op te lossen en dat het eventuele oplossingen nog moet onderzoeken.

"De oplossing voor Microsoft is om standaard IPv6 uit te schakelen, maar dit kan niet retroactief voor productiedesktops en servers worden gedaan, omdat klanten IPv6 voor legitieme redenen kunnen gebruiken", aldus de onderzoeker. Hij benadrukt dat het publiek van het lek moet wetten, omdat aanvallers het mogelijk al kennen en misbruiken.

Reacties (33)
05-04-2011, 13:05 door Anoniem
Zucht - faal.
05-04-2011, 13:07 door svenvandewege
Is Windows 7 nog goed genoeg? (Geintje)
05-04-2011, 13:12 door [Account Verwijderd]
[Verwijderd]
05-04-2011, 13:37 door Syzygy
Door Peter V: Misschien even overstappen op Ubuntu.

Sven zet er tenminste nog "geintje" bij !!

Het is eigenlijk een "IP6 default install" probleem voor elk OS

Lees hier maar even het fijne ervan met wat leuke tekeningetjes:

http://resources.infosecinstitute.com/slaac-attack/
05-04-2011, 14:24 door Anoniem
Dit is niet speciek een probleem van windows 7, maar ligt meer aan de wat onhandige uitvoering van IPv6. THC heeft al lange tijd een ruime toolset beschikbaar om van allerlei leuke dingetjes te doen met IPv6 hosts... Omdat veel OS-en 'op de muziek vooruit lopen' en een host al standaard laat luisteren naar IPv6, maar de gebruiker daar vaak nog niets van weet, staan veel firewalls op de IPv6 kan helemaal open...

details: http://www.thc.org/thc-ipv6/
05-04-2011, 14:29 door Mysterio
Door Peter V: Misschien even overstappen op Ubuntu.
Zou je eens uit willen leggen hoe dat IP6 onder Ubuntu dit probleem dan niet heeft?

De onderzoekers hebben de tijd niet genomen om er iets anders dan Windows voor te gebruiken. En ik denk dat het een schijnveiligheid in de hand werkt om je waarschuwing te beperken tot besturingssystemen. Het kopt natuurlijk leuk, en daar gaat het om tegenwoordig.

Ps. het is nog oud nieuws ook: http://tools.ietf.org/html/draft-chown-v6ops-rogue-ra-02
05-04-2011, 14:41 door spatieman
het perfecte os ooit....
05-04-2011, 14:48 door JJ87
Door spatieman: het perfecte os ooit....

Heb je de reacties gelezen? Het is een IPv6 gerelateerd probleem, en beperkt zich (helaas) niet alleen tot de Windows networking stack. Ik vraag mij af of Unix/Linux distro's die zich focussen op veiligheid dit ook hebben. OpenBSD schijnt dit probleem al wel opgelost te hebben :)
05-04-2011, 15:49 door Anoniem
Op een Mac geldt dit ook. Artikel is dus weer eens (zoals de laatste tijd vaker op security.nl) extra gekleurd om interessanter te lijken cq reacties uit te lokken. Beetje jammer.
05-04-2011, 17:12 door Anoniem
Hoi,ik lees in het stuk "veel beveiligingsproducten controleren alleen het IPv4 verkeer".Welke beveiliginsproducten controleren wel ook het IPv6 verkeer? Ik wil dit graag weten,ik heb nl.het vermoeden dat men zo mijn pc's aftapt.
05-04-2011, 17:41 door Anoniem
Ik kon me nog herinneren dat ik ergens een artikel heb gelezen, over dat IPv6 nog niet best werkt en een veiligheid risico is. Denk dat het dus eerder aan het IPv6 protocol licht dan aan het os.
05-04-2011, 18:03 door zvbhvb
Door Syzygy:
Door Peter V: Misschien even overstappen op Ubuntu.

Sven zet er tenminste nog "geintje" bij !!

Het is eigenlijk een "IP6 default install" probleem voor elk OS

Lees hier maar even het fijne ervan met wat leuke tekeningetjes:

http://resources.infosecinstitute.com/slaac-attack/


En bij elke linux dus ook Ubuntu is ipv6 heel makkelijk uit te zetten.
05-04-2011, 18:03 door Anoniem
Norton 360 4.0 en Norton 360 5.0 controleren ook het IPv6 verkeer.Heb het net gevraagd bij klantenservice.
05-04-2011, 18:07 door Anoniem
Windows is zo lek als een vergiet,en niet alleen vista,maar ALLE VERSIES! Ik vindt het bedenkelijk dat een bedrijf zo'n onveilig product op de markt mag brengen,het zou verboden moeten worden.Maar ja,Microsoft is (al)machtig.
05-04-2011, 18:28 door Anoniem
Dit is *by design* precies zoals het zou moeten werken. Het is inderdaad een probleem, maar als iemand fysiek apparatuur in je netwerk kan koppelen is er toch al iets goed mis. Het is gewoon iets dat je vanaf nu zult moeten monitoren, maar alleen als je ook de moeite al neemt dit voor IPv4 te doen (met bijvoorbeeld dhcp_probe, arpwatch).

Alle operating systems met RDNSS of DHCPv6 client support zijn "vulnerable". Dus ook de iPhone/iPad. Niet "vulnerable": MacOS X 10.6, Ubuntu 10.10. Wel "vulnerable": Mac OS X 10.7, Ubuntu 11.04.
05-04-2011, 18:57 door Anoniem
Goed dat in dit vroege stadium aandacht is voor deze kwestie. Hoe eerder we IPv6 naar 'volwassenheid' brengen hoe beter.
Maar om hier nu van een probleem te spreken, dat lijkt me wat overdreven. De conclusie is: 'ken uw netwerk', maar is dat voor IPv6 nou zoveel anders dan voor IPv4? Ik dacht het niet.

De veronderstelde aanval gaat namelijk uit van nogal wat aannames.

Er verschijnt 'zomaar' een 'evil' routing device in je netwerk. Ja, hallo... dan ben je natuurlijk sowiso gezien, of dat nou een IPv4 of IPv6 netwerk betreft. Zo lust ik er nog wel een...

Dus... gezonde aandacht voor het feit dat mensen onbewust IPv6 doen en dus niet in de gaten hebben dat ze mogelijk kwetsbaarder zijn, is prima. Hoe meer IPv6 awareness hoe beter. Maar een sfeer scheppen dat IPv6 gevaarlijk is, is natuurlijk grote onzin. Het is gewoon een nog relatief jonge technologie. Maar daar schrikt een beetje guru toch niet voor terug, of wel? Gaaf juist.

Stom in een glas water, zoals de tijd zal uitwijzen.
05-04-2011, 19:02 door svenvandewege
Bij W7 gelukkig ook;)
05-04-2011, 19:06 door joep da poope
Bij ip4 kun je jezelf ook als dhcp server configureren. En dan jezelf als gateway opgeven. Dat is net zo iets. Ook niemand die dat merkt. Je moet gewoon je switches zo configureren dat ip6 autoconfiguratie alleen vanaf je eigen router geaccepteerd wordt. Dat deed je toch ook al met ip4;)
05-04-2011, 19:50 door d4mn
Hoe kan het dat niemand van de ontwikkelaars van IPv6 dit heeft voorspeld??! ... Maar iig zo lang mogelijk geen Ipv6 gebruiken, keuze heb je uiteindelijk niet .. (Denk da'k maar een typmachine ga kopen ;))
05-04-2011, 19:59 door Anoniem
Ik gebruik IPV8, stukken beter
05-04-2011, 21:15 door Anoniem
Wat is IP6, hoe weet je of je het hebt, waar moet je het zoeken, hoe schakel je het uit, hoe herken je een aanval? Een site die zich security.nl noemt, zou wat meer aan voorlichting en instructie kunnen doen, volgens mij. Informatie waar lezers wat mee kunnen.
06-04-2011, 08:46 door Anoniem
In plaats van over ubuntu te mekkeren zouden er beter wat concrete oplossingen gepost worden. Kan je die IPV6 per GPO of scriptmatig bij de deployment uitschakelen - en later eenvoudig weer inschakelen?
06-04-2011, 08:52 door SirDice
Door d4mn: Hoe kan het dat niemand van de ontwikkelaars van IPv6 dit heeft voorspeld??!
Dit probleem speelt alleen met SLAAC, met DHCPv6 zijn de problemen hetzelfde als met DHCP voor IPv4.
06-04-2011, 09:49 door Anoniem
Door Anoniem: Wat is IP6, hoe weet je of je het hebt, waar moet je het zoeken, hoe schakel je het uit, hoe herken je een aanval? Een site die zich security.nl noemt, zou wat meer aan voorlichting en instructie kunnen doen, volgens mij. Informatie waar lezers wat mee kunnen.

Security.nl verwacht dat mensen die hier komen een gedegen kennis van ICT hebben, dat het de laatste wat minder moeilijke onderwerpen zijn is een ander verhaal.

http://nl.wikipedia.org/wiki/Internet_Protocol_Version_6
http://www.ipv6-taskforce.nl/?page_id=6

Ubuntu (vooral de nieuwste versies, beginnende met Lucid) hebben een firewall die met IPv6 overweg kan.
Standaard blokkeert deze al het IPv6 dataverkeer, maar je kan ook instellen om te accepteren.

Om te zeggen dat dit schuld van is IPv6 is onzin!! De markt heeft veel te lang haar kop in het zant gestoken over IPv6.
Het aantal vrije IPv4 is op! (ja er zijn nog voorraden bij de bedrijven/nationale uitgevers, maar die raken ook op).

Daarom zijn OS makers IPv6 nu al gaan ondersteunen, zodat we straks (waarschijnlijk niet) zonder problemen kunnen overstappen op IPv6.

Maar helaas lopen nog teveel software ontwikkelleraars en beveiligingssoftware en sommige ICT managers achter op de ontwikkeling. En krijgen wel allemaal te horen dat IPv6 slecht en gevaarlijk is, alleen omdat ze dan een excuus hebben om het niet te leren. Het komt er! Dat staat vast of het internet loopt vast. Leer het, begrijp het, en vooral BEVEILIG HET!
06-04-2011, 10:07 door Anoniem
Door Anoniem: Wat is IP6, hoe weet je of je het hebt, waar moet je het zoeken, hoe schakel je het uit, hoe herken je een aanval? Een site die zich security.nl noemt, zou wat meer aan voorlichting en instructie kunnen doen, volgens mij. Informatie waar lezers wat mee kunnen.

Iemand die op sercurity.nl komt zal de informatie die je vraagt al weten. Gebruik eens een zoekmachine! Binnen 2 klikken heb je alle informatie die je wilt weten ;)
06-04-2011, 11:36 door Spiff has left the building
Door Anoniem, di. 5-4, 21:15 uur: Wat is IP6, hoe weet je of je het hebt, waar moet je het zoeken, hoe schakel je het uit, hoe herken je een aanval? Een site die zich security.nl noemt, zou wat meer aan voorlichting en instructie kunnen doen, volgens mij. Informatie waar lezers wat mee kunnen.
Hierboven is onder meer al aangeraden zelf wat informatie te zoeken.
Op een deel van je vragen kan ik wel een eenvoudig antwoord geven:

Gebruik je Windows Vista of Windows 7 dan is de mogelijkheid voor IPv6 standaard aanwezig.
Je kunt dat via de volgende weg uitschakelen:

Configuratiescherm\ Netwerk en internet\ Netwerkcentrum\
\ Netwerkverbindingen beheren\
\ Rechtsklik op de weergegeven netwerkverbinding\
\ Eigenschappen\
\ Vinkje weghalen voor Internet Protocol versie 6 (TCP/IPv6)
06-04-2011, 11:58 door SirDice
Door Spiff: Je kunt dat via de volgende weg uitschakelen:

Configuratiescherm\ Netwerk en internet\ Netwerkcentrum\
\ Netwerkverbindingen beheren\
\ Rechtsklik op de weergegeven netwerkverbinding\
\ Eigenschappen\
\ Vinkje weghalen voor Internet Protocol versie 6 (TCP/IPv6)
Dit disabled IPv6 echter niet helemaal. Zo is IPv6 op localhost en op de tunnel interface nog steeds actief.

Registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents

Zet deze sleutel op DWORD: 0xFFFFFFFF en herstart de machine. IPv6 is dan voor alle interfaces behalve localhost disabled.
06-04-2011, 16:42 door joep da poope
Zet dan ip4 ook maar gelijk uit. Voor je het weet zit er een rogue dhcp server in je netwerk of is er iemand met arp poisoning bezig.
06-04-2011, 16:51 door Anoniem
Zou versleuteling van verkeer (SSTP-VPN) in ieder geval ervoor zorgen dat je verkeer onbruikbaar is?

Groet, Mike
06-04-2011, 17:14 door Anoniem
Door SirDice:
Door d4mn: Hoe kan het dat niemand van de ontwikkelaars van IPv6 dit heeft voorspeld??!
Dit probleem speelt alleen met SLAAC, met DHCPv6 zijn de problemen hetzelfde als met DHCP voor IPv4.

Ik weet niet of je nu wilt zeggen dat je SLAAC wel kunt uitzetten ?
Dan moet je even zoeken met welke DHCPv6 optie je een default gateway kunt meegeven ;-)

(antwoord: die is er niet).
Dus als je clients dynamisch adressen (en gateways) mee wilt geven moet je (ook) router advertisements gebruiken, want DHCPv6 alleen is niet voldoende.
En andersom, er zijn OS'en (bv MacOS) die geen IPv6 adres via DHCPv6 kunnen krijgen :-(
(wel via SLAAC)

Voorlopig hebben die mensen die nu zonodig IPv6 uit willen zetten alleen een punt als hun IPv4 segment wel compleet dichtgetimmerd zit :
(dus : switch infra die de koppeling mac-arp-IP(DHCP) controleert en arp spoofing, dhcp spoofing (cq ip/mac spoofing) onmogelijk maakt. Heb je dat niet, dus is het valse veiligheid om dan om deze reden wel IPv6 uit te gaan zetten).
07-04-2011, 20:41 door Anoniem
Security.nl verwacht dat mensen die hier komen een gedegen kennis van ICT hebben
[/quote]
Security.nl mag dan bedoeld zijn voor de ICT-incrowd, feit is dat deze website ook heel veel gewone pc en mac gebruikers aantrekt die meer willen weten over beveiliging van hun dure spullen en gevoelige verbindingen (met de bank, bijvoorbeeld). Deze website, security.nl , verdient heel veel geld aan al deze eenvoudige bezoekers, en het zou deze site sieren om hen niet arrogant met geheimtaal weg te jagen, maar eindelijk eens te bedienen met informatie waar deze groep wat aan heeft. Laat ze hun informatie helder en begrijpelijk houden. Dat kan op heel veel manieren, onder andere met links naar verklarende teksten (niet wikipedia!). Zo zie je maar weer, dat ik dit wel kan bedenken, en de zogenaamde ict-professionals niet!
08-04-2011, 11:04 door SirDice
Door Anoniem:
Door SirDice:
Door d4mn: Hoe kan het dat niemand van de ontwikkelaars van IPv6 dit heeft voorspeld??!
Dit probleem speelt alleen met SLAAC, met DHCPv6 zijn de problemen hetzelfde als met DHCP voor IPv4.

Ik weet niet of je nu wilt zeggen dat je SLAAC wel kunt uitzetten ?
Dan moet je even zoeken met welke DHCPv6 optie je een default gateway kunt meegeven ;-)

(antwoord: die is er niet).
Dus als je clients dynamisch adressen (en gateways) mee wilt geven moet je (ook) router advertisements gebruiken, want DHCPv6 alleen is niet voldoende.
Je kunt een vaste default gateway gebruiken: fe80::1

En andersom, er zijn OS'en (bv MacOS) die geen IPv6 adres via DHCPv6 kunnen krijgen :-(
(wel via SLAAC)
Mee eens.

Voorlopig hebben die mensen die nu zonodig IPv6 uit willen zetten alleen een punt als hun IPv4 segment wel compleet dichtgetimmerd zit :
(dus : switch infra die de koppeling mac-arp-IP(DHCP) controleert en arp spoofing, dhcp spoofing (cq ip/mac spoofing) onmogelijk maakt. Heb je dat niet, dus is het valse veiligheid om dan om deze reden wel IPv6 uit te gaan zetten).
Ook helemaal mee eens.
11-04-2011, 21:11 door Anoniem
beetje jammer van de redactie om dit nieuws zo te plaatsen, zeker omdat het nauwelijks nieuws is, we hebben het in de afgelopen jaren al in verschillende versies gezien. niks nieuws onder de zon.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.