IPv6-Fehler bringt Windows-Rechner in Gefahr

NetzwerkeSicherheitSicherheitsmanagement

»SLAAC«-Angriffe nennen Netzwerk-Experten das Problem, vor das das Internet-Protokoll jedes Betriebssystem stellt.

IPv6 sei sicherer als IPv4, sagen nahezu alle Sicherheitsexperten. Schlupflöcher aber gibt es immer, und eines erklärte nun Alec Waters vom »Infosec Institute« anhand einer Proof-of-concept-Attacke auf Windows 7.

Die Internet-Adressierung nach IPv6 könne typische »Man-in-the-middle«- Angriffe auf Windows-PCs ermöglichen. Das Problem könnte aber auch beliebige andere Betriebssysteme betreffen, die IPv6-fähig sind.

Der Vorgang ist allerdings ein wenig komplizierter für den Angreifer als bei den reinen IPv4-Verbindungen: Ein Router muss erst einmal als eine Art Netzwerkparasit in das Netz des Opfers eingebunden werden und muss zwei Schnittstellen haben – eine mit IPv6, die sich am »Zielobjekt« per IPv6 andockt und eine mit IPv4 fürs Internet. Der Nutzer ist so über IPv4 mit dem Netz verbunden, ihm wird jedoch IPv6 vorgegaukelt.

Das angreifbare System muss das neuere IPv6-Protokoll als Standard nutzen, der Internet-Verkehr wird noch über den »Parasiten«-Router per IPv4 laufen. Der Zugriff über alte IPv4-Lücken auf IPv6-Funktionen schafft es dann, den legitimen IPv6-Router abzuschalten und den Internetverkehr über den Parasiten-Router in unsichere Gefildeumzuleiten. Die »Stateless Address Auto Configuration«-Attacke (SLAAC Attack) öffne so den direkten Weg zu angegriffenen Rechnern und all ihren Ressourcen.

Waters: »Wir haben erfolgreich den latenten Wunsch des Kunden nach Nutzung von IPv6 geweckt. Wie haben keine Passwörter, Hacks oder Brute-Force-Angriffe benötigt. Alles was wir tun mussten, war, das Opfer in die gewünschte Richtung zu locken«.

Die effektivste Art, sich gegen so etwas zu wehren, sei IPv6 auf allen Hosts abzuschalten, wenn es keine betriebswirtschaftliche Erfordernis zu dessen Nutzung gäbe.

Zahlreiche Kommentare von anderen Sicherheitsexperten lehnen diesen Vorschlag rigoros ab. Einer meint, die richtige Firewall-Einstellung auch nach innen könnt das Problem lösen, ohne sich ganz von IPv6 zu verabschieden.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen