Menü

SLAAC-Attack IPv6 als Angriffsvektor demonstriert

Aktuelle Betriebssysteme beherrschen längst auch die Version 6 des Internet-Protokolls (IPv6). Bei Windows 7 ist IPv6 standardmäßig eingeschaltet. Doch Sicherheitslücken und Angriffsmöglichkeiten gibt auch hier, wie Alec Waters vom Infosec Institute an einem Beispiel zeigt.
SLAAC-Attack © Alec Waters, Infosec Institute

Der Vorrat an verfügbaren IP-Adressen nach Art von IPv4 (etwa 123.123.123.123) ist praktisch erschöpft. Der Nachfolger IPv6 (Internet-Protokoll Version 6) steht seit Jahren in den Startlöchern, um diese Misere zu beheben. Der 128-bittige Adressraum von IPv6 reicht, um auf absehbare Zeit jedem denkbaren Gerät eine eigene, weltweit eindeutige IP-Adresse zuzuordnen. Doch das als sicherer angesehene IPv6 birgt auch Probleme, vor allem in der anhaltenden Übergangsphase.

Alec Waters vom Infosec Institute hat einen so genannte Man-in-the-Middle-Angriff ersonnen, den er als "SLAAC-Attack" (SLAAC: Stateless Address Auto Configuration) bezeichnet. Die Hürde, die ein Angreifer dazu überwinden muss, besteht darin einen manipulierten IPv6-Router in das Netzwerk des Opfers einzuschleusen. Damit wird etwa ein standardmäßig installierter Windows-7-PC, der hinter einem normalen IPv4-Router steht, zum leichten Opfer. Doch auch jedes andere Betriebssystem mit aktiviertem IPv6 ist für solche Angriffe anfällig.

Im Wesentlichen basiert der Angriff darauf, dass ein solcher Rechner bevorzugt IPv6 nutzen wird, wenn es verfügbar ist. Bei IPv6 gibt der Router durch Broadcasts bekannt, dass er da ist. Er liefert den Rechnern im Netzwerk per SLAAC die Informationen, die sie auch bei IPv4 per DHCP vom Router erhalten. Der manipulierte Router spricht nach innen IPv6 und nach außen IPv4. Er lenkt zudem DNS-Anfragen an einen Name-Server im Internet um, der unter der Kontrolle des Angreifers steht.

Somit ist das Angriffsszenario für einen Man-in-the-Middle-Angriff bereits komplett. Der Angreifer kontrolliert den gesamten Datenverkehr zwischen dem PC und dem Internet. Er kann nun etwa Anmeldedaten fürs Online-Banking abgreifen, indem er das Opfer auf einen Web-Server umlenkt, der die Zugangsseite seiner Bank nachahmt. Er kann auch sämtliche anderen Daten mitschneiden oder verändern, die unverschlüsselt ins Internet gesendet oder aus dem Internet empfangen werden.

Ein solcher Angriff wird nach aller Wahrscheinlichkeit lange Zeit kaum auffallen. Die meisten Sicherheitsprodukte sind in Bezug auf IPv6 bislang mehr oder weniger blind. Die vorhandene IPv4-basierte Netzwerkinfrastruktur des Opfers, das kann auch ein Unternehmen sein, bleibt unangetastet. Die Rechner wählen lediglich ganz freiwillig den neuen Pfad ins Internet via IPv6, weil dieses gegenüber IPv4 standardmäßig bevorzugt wird.

 
x