SLAAC-Attack

IPv6 als Angriffsvektor demonstriert

Aktuelle Betriebssysteme beherrschen längst auch die Version 6 des Internet-Protokolls (IPv6). Bei Windows 7 ist IPv6 standardmäßig eingeschaltet. Doch Sicherheitslücken und Angriffsmöglichkeiten gibt auch hier, wie Alec Waters vom Infosec Institute an einem Beispiel zeigt.

News
SLAAC-Attack
SLAAC-Attack
© Alec Waters, Infosec Institute

Der Vorrat an verfügbaren IP-Adressen nach Art von IPv4 (etwa 123.123.123.123) ist praktisch erschöpft. Der Nachfolger IPv6 (Internet-Protokoll Version 6) steht seit Jahren in den Startlöchern, um diese Misere zu beheben. Der 128-bittige Adressraum von IPv6 reicht, um auf absehbare Zeit jedem denkbaren Gerät eine eigene, weltweit eindeutige IP-Adresse zuzuordnen. Doch das als sicherer angesehene IPv6 birgt auch Probleme, vor allem in der anhaltenden Übergangsphase.Alec Waters vom Infosec Institute hat einen so genannte Man-in-the-Middle-Angriff ersonnen, den er als "SLAAC-Attack" (SLAAC: Stateless Address Auto Configuration) bezeichnet. Die Hürde, die ein Angreifer dazu überwinden muss, besteht darin einen manipulierten IPv6-Router in das Netzwerk des Opfers einzuschleusen. Damit wird etwa ein standardmäßig installierter Windows-7-PC, der hinter einem normalen IPv4-Router steht, zum leichten Opfer. Doch auch jedes andere Betriebssystem mit aktiviertem IPv6 ist für solche Angriffe anfällig. Im Wesentlichen basiert der Angriff darauf, dass ein solcher Rechner bevorzugt IPv6 nutzen wird, wenn es verfügbar ist. Bei IPv6 gibt der Router durch Broadcasts bekannt, dass er da ist. Er liefert den Rechnern im Netzwerk per SLAAC die Informationen, die sie auch bei IPv4 per DHCP vom Router erhalten. Der manipulierte Router spricht nach innen IPv6 und nach außen IPv4. Er lenkt zudem DNS-Anfragen an einen Name-Server im Internet um, der unter der Kontrolle des Angreifers steht. Somit ist das Angriffsszenario für einen Man-in-the-Middle-Angriff bereits komplett. Der Angreifer kontrolliert den gesamten Datenverkehr zwischen dem PC und dem Internet. Er kann nun etwa Anmeldedaten fürs Online-Banking abgreifen, indem er das Opfer auf einen Web-Server umlenkt, der die Zugangsseite seiner Bank nachahmt. Er kann auch sämtliche anderen Daten mitschneiden oder verändern, die unverschlüsselt ins Internet gesendet oder aus dem Internet empfangen werden. Ein solcher Angriff wird nach aller Wahrscheinlichkeit lange Zeit kaum auffallen. Die meisten Sicherheitsprodukte sind in Bezug auf IPv6 bislang mehr oder weniger blind. Die vorhandene IPv4-basierte Netzwerkinfrastruktur des Opfers, das kann auch ein Unternehmen sein, bleibt unangetastet. Die Rechner wählen lediglich ganz freiwillig den neuen Pfad ins Internet via IPv6, weil dieses gegenüber IPv4 standardmäßig bevorzugt wird.

8.4.2011 von Frank Ziemann

Weiter zur Startseite  

Mehr zum Thema

Das Hasso-Plattner-Institut bietet einen Sicherheits-Test an.

Millionen gestohlene Datensätze

HPI-Test: Eigene E-Mail-Adresse auf Identitätsklau testen

Mit seiner E-Mail-Adresse kann man beim Hasso-Plattner-Institut testen lassen, ob eigene Daten Hackern zum Opfer gefallen sind und im Internet…

WhatsApp

Abmahnungen können drohen

Whatsapp-Kerze: Corona sorgt für Kettenbrief-Comeback nach 5…

Ein Whatsapp-Kettenbrief mit dem Foto einer Kerze taucht nach mehr als fünf Jahren wieder auf. Statt Solidarität für Corona-Patienten drohen…

Windows Update: Screenshot

Windows Update jetzt ausführen

Microsoft veröffentlicht Notfall-Patch - auch für Windows 10

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können. Der…

Flash-Lücke entdeckt

Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten fast eine Woche lang Malware aus

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.

Symbolbild für Internet-Sicherheit und Spionage

Teslacrypt

Erpresser-Trojaner hat es auf Spielstände abgesehen

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…