13:55
seccion9-seguridad
El equipo de seccion9 seguridad ha visto interesante esta informacion.
Los equipos con Windows Server 2008 R2 y Windows 7 utilizan por defecto, siguiendo el algoritmo que elige entre IPv6 e IPv4 basado en la tabla de precedencias, el protocolo IPv6 para las comunicaciones SMB entre ellos. Debido a esto, algunas veces los ataques ARP-Spoofing para hacer ataques man in the middle en redes IPv4 parecen fallar, pero la explicación es tan simple como que el sistema no está haciendo uso de IPv4 para acceder al servidor SMB.
En la demostración que estoy haciendo en el Talentum Tour con la Evil FOCA, enseño cómo funciona esto por defecto en un entorno mixto con IPv4/IPv6 y se puede ver cómo el cliente y el servidor SMB se comunican por defecto con IPv6.
En esta primera captura se puede ver que Evil FOCA ha descubierto dos equipos que tienen tanto direcciones IPv4 como IPv6 configurado, pero que se ha elegido hacer un ataque man in the middle sólo en IPv6 utilizado un esquema de Neighbor Spoofing con ICMPv6.
Activamos Wireshark en la máquina del atacante y después, desde el cliente nos conectamos a un recurso SMB en el servidor en el que se accede a un fichero llamado Password.txt en el que, como se puede ver en la previsulación está la contraseña buscada.
Analizando el tráfico capturado en la máquina atacante, podemos ver que todo el tráfico SMB ha sido transmitido sobre IPv6, por lo que se han podido grabar todos los paquetes que forman parte de los ficheros.
Haciendo un seguimiento del flujo TCP es posible, como se ve en la siguiente captura, acceder a los ficheros que se han transmitido.
Para sacar los ficheros lo más molón hubiera sido poder utilizar el componente que desarrollaron para Wireshark nuestros amigos de Taddong, pero parece que no detecta bien los paquetes SMB que van sobre IPv6, por lo que utilizando el "canal de reporte de bugs oficial de Taddong"
Posted in: robo de datos
0 comentarios:
Publicar un comentario