Atak „TCP/IP hijacking” wciąż możliwy na Windows 7

Windows 7 jest nadal podatny na ataki przejmujące kontrolę nad protokołem TCP / IP poprzez lukę, o której odkrywca podatności poinformował Microsoft osiem lat temu! Adam Zabrocki (znany również jako „pi3”) opowiedział w poście na blogu, jak w 2008 roku stworzył dowód potwierdzający możliwość tego ataku, w którym celem był system Windows XP.
Później, w 2012 roku, ostrzegł Microsoft, że wszystkie kolejne wersje do Windows 7 zawierają tę samą, umożliwiającą atak, lukę w stosie TCP/IP.

Chociaż Microsoft uznał błąd za „bardzo trudny” do wykorzystania i dlatego naprawił go tylko w Windows 8, Zabrocki mówi, że był w stanie przerobić atak z XP na Windows 7. Dodał, że było to prostsze od konfiguracji samego Windowsa.

Stworzony w 2009 roku system Windows 7 skończył swój żywot rok temu, co oznacza, że użytkownicy nie otrzymują już poprawek zabezpieczeń. Jednak według powszechnych statystyk uważa się, że jeden na cztery komputery klasy PC na Świecie to nadal starzejący się Windows 7. Sprawia to, że są one potencjalnie narażone na atak.

Autor: Kapitan Hack Data dodania: 4 lut 2021 10:55 4 min czytania

Co to jest TCP/IP Hijacking?

Czytelnicy „starszej daty” z pewnością dobrze znają tą technikę, gdyż w latach 90 był to jeden z najsłynniejszych ataków. Warto wspomnieć, że atak Blind TCP/IP Hijacking został przeprowadzony przez samego Kevina Mitnicka na komputery Tsutomu Shimomury w San Diego Supercomputer Center w Boże Narodzenie 1994 roku. Było o tym wtedy głośno. Jest to BARDZO stara technika, o której nikt nie spodziewał się, że dożyje 2021 roku. Mimo to nadal możliwe jest przechwytywanie sesji TCP/ IP bez atakowania PRNG odpowiedzialnego za generowanie inicjałów numerów sekwencji TCP (ISN). Szczegóły ataku można poznać na przykład tutaj.

Jakich szkód może narobić przejęcie TCP/IP dzisiaj?

Na szczęście nie jest to tak katastrofalne jak kiedyś. Głównym powodem jest to, że większość współczesnych protokołów implementuje szyfrowanie. Oczywiście, sam fakt, że osoba atakująca może przejąć każdą ustanowioną sesję TCP/IP jest niepokojący, bo już z samych nagłówków można wyciągnąć wiele informacji. Jeśli jednak protokoły wyższych warstw prawidłowo implementują szyfrowanie, osoby atakujące są ograniczone pod względem tego, co mogą dzięki udanemu atakowi uzyskać. Mimo to nadal mamy szeroko stosowane protokoły, które nie szyfrują ruchu, np. FTP, SMTP, HTTP, DNS, IMAP i inne. Krytycznym protokołem może być tutaj TELNET, który używany jest w wielu urządzeniach IoT. Przechwytując takie sesje lub co gorsza podszywając się pod serwer i generując własne wiadomości, atakujący mogą spowodować katastrofalne skutki.

Warto wiedzieć, że aby wykonać atak TCP/IP Hijacking atakujący musi znać:

Adres IP Klienta
Adres IP Serwera
Port Klienta
Port Serwera
Bajt sekwencyjny Klienta
Bajt sekwencyjny Serwera

Jakie urządzenia rzeczywiście są podatne?

Exploit Zabrockiego zmodyfikował technikę ataku udokumentowaną przez innego badacza w 2007 roku, która była skuteczna przeciwko FreeBSD 4 i Windows 2K / XP, ponieważ oba systemy operacyjne używały IP_ID jako globalnego licznika, który zwiększa się z każdym wysłanym pakietem IP. Aktualnie, dotyczy to również Windows 7, wielu drukarek, starszych wersji Linux / FreeBSD / Mac OS, wydanych przez 2012 rokiem.

Windows 8 i większość innych nowoczesnych systemów operacyjnych implementuje IP_ID jako „lokalny” licznik na sesję, z których każdy ma niezależną bazę IP_ID, co zapobiega opisywanemu atakowi.

Podsumowanie

Ten przykład po raz kolejny pokazuje, jak ważne jest, aby nie obrażać się na nowe wydania Microsoft i korzystać tylko z ich najnowszych systemów w najnowszych wersjach. Z pewnością istnieje dużo więcej podatności i możliwości przejęcia kontroli nad komputerami z Windows 7. Przerażający jest fakty, że stanowią one jeszcze prawie 25% wszystkich aktywnych PC na Świecie.

Poniżej przedstawiamy jeszcze oficjalną odpowiedź Microsoft w tej sprawie: „Opisana technika opiera się na zestawie specyficznych warunków, które bardzo utrudniają jej wykonanie w prawdziwym scenariuszu. Nie planujemy rozwiązać tego problemu za pomocą aktualizacji zabezpieczeń. Zalecamy klientom korzystanie z systemu Windows 10 w celu uzyskania najlepszej ochrony”.