Vulnerabilidad de secuestro de conexión WiFi a través del IPv6

Iniciado por AXCESS, Agosto 21, 2025, 10:59:41 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 21, 2025, 10:59:41 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una función inactiva de IPv6 es una puerta trasera para los atacantes de Windows, advierten investigadores de seguridad. Activada por defecto, si no se utiliza ni se controla, puede provocar la vulneración completa del dominio.

Puede que IPv6 no sea de uso generalizado, pero Windows la habilita por defecto y la prioriza sobre la versión anterior de IPv4, lo que tiene graves repercusiones para la seguridad.

Si los hackers tienen acceso a un solo dispositivo de la red, incluso uno de IoT, pueden transformarlo en una configuración y un servidor DNS falsos. Los equipos Windows confiarán y preferirán las instrucciones maliciosas a la configuración IPv4 existente.

Resecurity, una empresa de ciberseguridad, advierte que esto permite a los atacantes secuestrar las conexiones de un equipo: redirigir a los usuarios a sitios web maliciosos, interceptar credenciales y, en última instancia, controlar toda la red. Anteriormente, VK9 Security y otros defensores de la red también describieron la técnica de toma de control de DNS.

Los investigadores han detallado cómo los atacantes pueden lograr una vulneración completa del dominio: una toma total de lo que podría describirse como el centro neurálgico de la seguridad corporativa.

Y los atacantes solo necesitan minutos para llevar a cabo el ataque.

"Mediante la combinación de respuestas DHCPv6 fraudulentas, envenenamiento de DNS, abuso de WPAD y retransmisión NTLM, los atacantes pueden escalar sigilosamente desde el acceso no autenticado a la red hasta el control total del administrador del dominio en cuestión de minutos", afirma el informe de Resecurity.

Solo unos pasos para un control total

Las máquinas Windows, por defecto, solicitan constantemente configuraciones de red, como el servidor DNS. Si bien la mayoría de los usuarios tienen redes IPv4 configuradas, este comportamiento también se presenta para IPv6, incluso si la red no lo usa activamente.

En la primera fase del ataque, un hacker necesitaría encontrar la manera de proporcionar la respuesta. Si bien puede ser difícil comprometer un router, que a menudo actúa como servidor DHCP para IPv4, cualquier dispositivo puede ser utilizado indebidamente para proporcionar configuración IPv6.

"Paso 1: Conviértete en el servidor DHCPv6 falso", explica Resercurity.

Incluso los dispositivos IoT Linux de bajo consumo pueden ser utilizados indebidamente para ejecutar mitm6, una herramienta de pentesting de código abierto que se utiliza para controlar el servidor DNS predeterminado, disponible en GitHub.

La suplantación de DNS IPv6 ya otorga a los atacantes un amplio control; es decir, pueden desviar a usuarios desprevenidos a sitios web maliciosos clonados.

Sin embargo, también pueden descubrir el controlador de dominio e interceptar las credenciales de inicio de sesión de los usuarios cuando intentan acceder a un recurso de red.

Finalmente, el atacante presenta el protocolo de enlace robado al controlador de dominio, haciéndose pasar por un usuario con privilegios, y crea una cuenta en Active Directory. Desde aquí, los atacantes tendrían total libertad para ejecutar comandos y acceder a los recursos, lo que resultaría en una vulneración total.



La técnica, denominada "ataque de retransmisión MITM6 + NTLM", tiene graves consecuencias para los entornos de Active Directory.

"Combina la interceptación de red con técnicas de escalada de privilegios", advierte Resecurity.

"El ataque de retransmisión MITM6 + NTLM es un ejemplo clásico de cómo pequeños descuidos de configuración pueden desencadenar una vulnerabilidad a gran escala de Active Directory".

Los investigadores de seguridad instan a los defensores de la red a deshabilitar completamente IPv6 si no se utiliza. Esto evitará que se procesen configuraciones maliciosas.

Los administradores de red IPv6 utilizan conmutadores y enrutadores con RA Guard/DHCPv6 Guard para bloquear anuncios IPv6 no autorizados y servidores DHCP no autorizados en la red.

Otras medidas de mitigación incluyen la autenticación y el fortalecimiento, la monitorización y la detección de la configuración de Active Directory.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario